14 января 2020
119

При аутентификации на PayPal обнаружена уязвимость, раскрывающая пароли

Баг затрагивает одну из наиболее популярных страниц платежной системы – страницу входа.

Приложение PayPal

Алекс Бирсан сообщил на Medium, что ему удалось обнаружить уязвимость в одной из самых популярных в мире платежной системе PayPal. При поиске уязвимостей как правило взгляд ИБ исследователя отвлекается от очевидных вещей. Специалист по информационной безопасности проверяет нетривиальные моменты и какого было удивление Алекса, когда он обнаружил баг на одной из самых популярных страниц, а именно на странице входа.

Изучая процесс аутентификации PayPal, Алекс заметил файл javascript, содержащий токен CSRF и идентификатор сеанса. Что сразу же привлекло внимание, потому что предоставление любого вида данных сеанса внутри файла javascript обычно позволяет его получить злоумышленникам.

Сама же лазейка крылась в форме Captcha, которая инициировалась системой при множественном некорректном вводе логина и пароля пользователя.

Эксплоит концептуально можно описать следующим образом. Сначала используется уязвимость XSSI, чтобы получить набор токенов, которые были действительны в сеансе жертвы. Затем злоумышленник производит несколько запросов аутентификации на PayPal со случайными учетными данными, производя брутфорс, который запускал бы инициацию вызовов к безопасности.

После того, как жертва вошла в PayPal с помощью браузера, кэшированные случайные учетные данные будут заменены собственной электронной почтой и паролем пользователя. Последним шагом было получение нового токена reCAPTCHA, после чего получались обычные текстовые учетные данные.

Данная уязвимость уже была исправлена компанией, а Алекс Бирсан получил вознаграждение за её обнаружение в объеме 15300 долларов США.

Теги:
Читайте также
В московском метро начнут проводить мониторинг устройств и пользовательского траффика
18 сентября 2020
Master прощай! GitHub откажется от устоявшегося термина в угоду толерантности
21 сентября 2020
У компании по управлению недвижимостью утекло более миллиона записей
24 сентября 2020