OAuth служить відкритим стандартом аутентифікації на основі токенів, що використовується багатьма інтернет-гігантами, включаючи PayPal. Ось чому виявлення критичного недоліку в сервісі онлайн-платежів, яке могло б дозволити хакерам викрасти маркери OAuth у користувачів, надіслало PayPal скремблінгу, щоб розгорнути патч.

Антоніо Сансо, дослідник безпеки та інженер програмного забезпечення Adobe, виявив недолік після тестування власного клієнта OAuth. Окрім PayPal, Сансо також виявив таку ж вразливість у інших великих Інтернет-сервісах, як Facebook та Google.

Сансо каже, що проблема полягає в тому, як PayPal обробляє параметр redirect_uri для надання додаткам певних маркерів аутентифікації. Служба використовує розширені перевірки переадресації для підтвердження параметра redirect_uri з 2015 року. Однак Сансо не зупинив обхід цих перевірок, коли він почав досліджувати систему у вересні.

PayPal дозволяє розробникам використовувати інформаційну панель, яка може виробляти запити токенів, щоб залучати свої додатки до сервісу. Потім отримані запити токенів надсилаються на сервер авторизації PayPal. Тепер Сансо виявив помилку в тому, як PayPal розпізнає localhost як дійсний параметр redirect_uri під час процесу аутентифікації. Він сказав, що цей метод неправильно реалізував OAuth.

Ігрові системи перевірки

Потім Сансо перейшов до системи валідації гри PayPal і запропонував їй розкрити інакше конфіденційні маркери аутентифікації OAuth. Йому вдалося обманути систему, додавши певний запис системи доменних імен на свій веб-сайт, зазначивши, що localhost послужив чарівним словом для переосмислення точного процесу перевірки відповідності PayPal.

За словами Сансо, ця вразливість могла поставити під загрозу будь-якого клієнта PayPal OAuth. Він порадив користувачам створити дуже специфічний redirect_uri під час створення клієнта OAuth. Сансо написав у публікації в блозі:

НЕ реєструйте https: // yourouauthclientcom / oauth / oauthprovider / зворотний виклик. НЕ ПОВЕРНЕНО https: // yourouauthclientcom / або https: // yourouauthclientcom / oauth.

PayPal спочатку не вірив висновкам Сансо, хоча компанія врешті-решт переглянула своє рішення і тепер видала виправлення недоліку.

Читайте також:

• 7 кращих програмного забезпечення для виставлення рахунків на Windows 10
• Гаманець для Windows 10 Mobile здійснює безконтактні мобільні платежі інсайдерам