Paypal, 해커가 OAuth 토큰을 훔치지 못하도록하는 중요한 패치 발행
차례:
비디오: What is OAuth2 Authentication Example | Short Explanation | Tutorial for Beginners 2024
OAuth는 PayPal을 포함하여 많은 인터넷 거인이 사용하는 토큰 기반 인증을위한 공개 표준으로 사용됩니다. 그렇기 때문에 해커가 사용자의 OAuth 토큰을 훔칠 수있는 온라인 결제 서비스의 중대한 결함이 발견되어 PayPal 스크램블링을 통해 패치를 배포했습니다.
보안 연구원이자 Adobe 소프트웨어 엔지니어 인 Antonio Sanso는 자신의 OAuth 클라이언트를 테스트 한 후 결함을 발견했습니다. PayPal 외에도 Sanso는 Facebook 및 Google과 같은 다른 주요 인터넷 서비스에서도 동일한 취약점을 발견했습니다.
Sanso는이 문제는 PayPal이 redirect_uri 매개 변수를 처리하여 응용 프로그램에 특정 인증 토큰을 제공하는 방식에 있다고 말합니다. 이 서비스는 2015 년 이후 redirect_uri 매개 변수를 확인하기 위해 향상된 리디렉션 검사를 사용하고 있습니다. 여전히 9 월에 시스템을 조사하기 시작했을 때 Sanso가 이러한 검사를 우회하는 것을 막지 않았습니다.
PayPal을 통해 개발자는 토큰 요청을 생성 할 수있는 대시 보드를 사용하여 서비스에 앱을 참여시킬 수 있습니다. 결과 토큰 요청은 PayPal 권한 서버로 전송됩니다. 이제 Sanso는 인증 과정에서 PayPal이 로컬 호스트를 유효한 redirect_uri 매개 변수로 인식하는 방법에 오류가 있음을 발견했습니다. 그는이 방법이 OAuth를 잘못 구현했다고 말했다.
유효성 검사 시스템 게임
그런 다음 Sanso는 게임 PayPal의 유효성 검사 시스템으로 이동하여 기밀 OAuth 인증 토큰을 공개하도록합니다. 그는 특정 도메인 이름 시스템 항목을 자신의 웹 사이트에 추가하여 로컬 호스트가 PayPal의 정확한 일치 유효성 검사 프로세스를 재정의하는 마법의 단어로 사용됨을 지적하면서 시스템을 속였습니다.
Sanso에 따르면이 취약점으로 인해 PayPal OAuth 클라이언트가 손상되었을 수 있습니다. 그는 사용자에게 OAuth 클라이언트를 만들 때 매우 구체적인 redirect_uri를 만들도록 조언했습니다. Sanso는 블로그 게시물에 다음과 같이 썼습니다.
https: // yourouauthclientcom / oauth / oauthprovider / callback을 등록하십시오. https: // yourouauthclientcom / 또는 https: // yourouauthclientcom / oauth가 아닙니다.
PayPal은 처음에 Sanso의 결과를 믿지 않았지만 회사는 결국 결정을 재고하고 결함을 수정했습니다.
또한 읽어보십시오:
- 7 최고의 Windows 10 송장 소프트웨어 사용
- Windows 10 Mobile 용 월렛은 비접촉식 모바일 결제를 내부자에게 제공
Pwn2own 2017 동안 해커가 Edge를 사용하여 VMware 워크 스테이션 우회
올해의 Pwn2Own 콘테스트는 3 일 간의 해킹 브라우저와 운영 체제로 마무리되었습니다. 결국, Microsoft Edge 브라우저는 이벤트 중 공격을 방어하지 못한 후 패자로 등장했습니다. 중국 보안 회사 Qihoo 360의 팀은 Edge를 악용하고 두 가지 보안 결함을 연결하여 VMware에서 탈출했습니다.
Microsoft의 제품 취약점은 해커가 가장 좋아하는 대상입니다.
최신 보안 보고서에 따르면 대부분의 해커는 Microsoft의 제품 취약성을 악용하는 것을 선호합니다. 컴퓨터를 보호하는 방법은 다음과 같습니다.
Onedrive 사기 경고! 해커가 암호화 된 이메일을 열도록 초대
Windows 10 사용자는 다른 피싱 사기의 대상이됩니다. 이 피싱 캠페인은 사기성 OneDrive 웹 사이트에 로그인하라는 메시지를 표시합니다.