Новости
В PayPal нашли уязвимость, которая позволяла узнать почту и пароль пользователя
Эксперт Алекс Бирсан (Alex Birsan) обнаружил серьезную уязвимость в процессе аутентификации PayPal.
Воскресенье, 12 января 2020, 18:55

Об этом он сообщил в своем блоге.

По его словам, уязвимость была связана с тем, как PayPal хранит токены CSRF и ID сессий в файле JavaScript.

“Исследуя основной процесс аутентификации PayPal, я заметил файл javascript, содержащий то, что казалось токеном CSRF, и идентификатор сеанса. Это сразу привлекло мое внимание, потому что предоставление любого вида данных сеанса в допустимом файле javascript обычно позволяет злоумышленникам получать их”, – рассказал эксперт.

В так называемой атаке с использованием XSSI вредоносная веб-страница может использовать скрипт-тег HTML для импорта межсайтового сценария, что позволяет ей получить доступ к любым данным, содержащимся в файле.

Отмечается, что быстрый тест подтвердил уязвимость XSSI и, хотя для рандомизации имен при каждом запросе использовался обфускатор, интересные токены по-прежнему размещались в достаточно предсказуемых местах, что позволяло получать их извлечь.

В итоге, хакеры могли получить электронную почту и пароль пользователя PayPal.

Бирсан уведомил команду PayPal об этой уязвимости и получил 15 300 долларов по программе bug bounty.

  • Самая крупная в мире электронная платежная система PayPal прекратила свое сотрудничество с порносайтом Pornhub.
Теги: хакеры, PayPal

Межа у Telegram

Подписаться