Чтение RSS
По вопросам сотрудничества и рекламы на портале MixliP, обращаться на почту admin@turklib.ru
MixliP - Территория вебмастера! На нашем сайте вы найдете все для веб-мастеров и не только =) ! Различные скрипты для вашего сайта. И еще на нашем сайте немало софта! Заходи не пожалеешь!

Найдена критическая уязвимость в PayPal


 Найдена критическая уязвимость в PayPal

Основатель и глава компании Vulnerability Lab Бенджамин Кунц Межри (Benjamin Kunz Mejri) сообщил об уязвимости в мобильном приложении PayPal, позволяющей обойти двухфакторную аутентификацию и получить доступ даже к заблокированной учетной записи пользователя. Брешь затрагивает версии программы для iOS и Android.


С целью предотвращения мошенничества в некоторых случаях PayPal может запрашивать у пользователя подтверждение личности и блокировать его учетную запись. Для того чтобы ее разблокировать, необходимо позвонить или отправить электронное письмо на адрес сервиса согласно всплывающей форме. По словам Межри, уязвимость позволяет удаленному злоумышленнику получить доступ к заблокированному аккаунту путем множественных попыток авторизации.





«Осуществляя множественные попытки запросить форму с помощью реально существующей учетной записи (x01445@gmail.com:chaos666), мы смогли обойти проверку подлинности личности ее владельца, - сообщил Межри. - API загружает контекст сайта, и пользователь может включить в процесс идентификации с помощью движка браузера собственный пользовательский аккаунт. Даже если учетная запись заблокирована, пользователь может получить доступ через мобильный API с уже существующими файлами cookie».


Эта техника также срабатывает для обхода двухфакторной аутентификации, поскольку, получив доступ к учетной записи, атакующий может изменить ее настройки, в том числе пароль.


По словам Межри, он сообщил PayPal об уязвимости еще в апреле нынешнего года. Компания не исправила брешь, не посчитав ее критической. Эксперт не согласился с такой оценкой и опубликовал видео, демонстрирующее эксплуатацию уязвимости.


Напомним, что на прошлой неделе в PayPal была обнаружена XSS-уязвимость.



Просмотры:
Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь.
Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.


Владельцы и пользователи сайта MixliP.ru не осуществляют никакой продажи либо перепродажи программных и иных продуктов интеллектуальной собственности. На нашем сайте не хранится ни одного файла или документа, который нарушал бы смежное или авторское право.


Сайт MixliP.ru представляет собой набор новостей и ссылок на внешние общедоступные источники в сети Интернет, не подконтрольные администрации сайта MixliP.ru, а, следовательно, не несет никакой ответственности за их содержание.


Вся информация о программном обеспечении и скриптах, размещенная на данном сайте, предоставлена исключительно в ознакомительных целях и только для просмотра, и призвана помочь посетителям сайта MixliP.ru выбрать для себя и в последствии приобрести соответствующие лицензионные авторские программные продукты.


Читать полностью информацию правообладателям.




Наши друзья

Полезное

Разделы сайта

 Пользователи онлайн

  • Всего на сайте: 4
    Пользователей: 0
    Гостей: 4
    Роботов: 0