OAuth služi kot odprt standard za preverjanje pristnosti na podlagi žetonov, ki ga uporabljajo številni spletni velikani, vključno s PayPal. Zato je odkritje kritične napake v spletni plačilni storitvi, ki bi hekerjem lahko omogočila, da bi ukradli žetone OAuth od uporabnikov, poslala PayPal šifriranju, da bi potegnil obliž.

Antonio Sanso, varnostni raziskovalec in programski inženir Adobe, je napako odkril, ko je preizkusil lastno stranko OAuth. Sanso je poleg PayPala enako ranljivost zaznal tudi v drugih večjih internetnih storitvah, kot sta Facebook in Google.

Sanso pravi, da je težava v tem, kako PayPal ravna s parametrom redirect_uri, da aplikacijam daje določene žetone za preverjanje pristnosti. Storitev uporablja izboljšane preglede preusmeritve za potrditev parametra redirect_uri od leta 2015. Kljub temu pa Sanso ni preprečil teh pregledov, ko je začel preiskovati sistem septembra.

PayPal razvijalcem omogoča uporabo nadzorne plošče, ki lahko ustvari zahteve za žetone, da bi svoje aplikacije vpisali v storitev. Nastale zahteve za žetone se nato pošljejo na avtorizacijski strežnik PayPal. Zdaj je Sanso našel napako v tem, kako PayPal med postopkom preverjanja pristnosti prepozna lokalnihosto kot veljaven parameter redirect_uri. Povedal je, da je ta metoda napačno izvajala OAuth.

Igranje sistema za potrjevanje

Sanso je nato nadaljeval sistem preverjanja veljavnosti PayPala in mu razkril sicer zaupne žetone overjanja OAuth. Sistem mu je uspelo izigrati tako, da je na svoje spletno mesto dodal določen vnos sistema domenskih imen, pri čemer je opozoril, da je localhost služil kot čarobna beseda za preglasitev natančnega postopka preverjanja veljavnosti PayPala.

Sansova ranljivost bi lahko ogrozila katero koli stranko PayPal OAuth. Uporabnikom je svetoval, naj pri izdelavi odjemalca OAuth ustvarijo zelo specifičen redirect_uri. Sanso je v objavi na blogu zapisal:

Registrirajte se https: // yourouauthclientcom / oauth / oauthprovider / callback. NE JAVI https: // yourouauthclientcom / ali https: // yourouauthclientcom / oauth.

PayPal uvodoma ni verjel Sansovim ugotovitvam, čeprav je podjetje na koncu ponovno preučilo svojo odločitev in zdaj izdalo popravek pomanjkljivosti.

Preberite tudi:

• 7 najboljših programov za Windows 10 računov za uporabo
• Denarnica za Windows 10 Mobile ponuja Instanters brezkontaktno mobilno plačilo