В PayPal исправлена уязвимость, помогавшая узнать email и пароль пользователя

Sheriff

Местный
Joined
Jan 13, 2020
Местный
1 lvl
1,045
Messages
157
Reaction score
ИБ-специалист Алекс Бирсан (Alex Birsan) получил 15 300 долларов по программе bug bounty, обнаружив критическую уязвимость в процессе аутентификации PayPal.

Эксперт объясняет, что уязвимость была связана с тем, как PayPal хранит токены CSRF и ID сессий в файле JavaScript, из-за чего они становились доступными для злоумышленников посредством XSSI-атак. Хотя для рандомизации имен при каждом запросе использовался обфускатор, все равно имелась возможность предсказать, где находятся токены и извлечь их.
1_8faqys83QMtOkpNEIW-wTA.png
Хотя сами по себе ID сессий и токены бесполезны для прямых атак, Бирсан использовал их во время компрометации механизма, который защищает PayPal от брутфорса. Так, после нескольких неудачных попыток входа в систему пользователь должен решить задачу reCAPTCHA. Данная страница не содержит ничего, кроме Google CAPTCHA, и, если задача успешно решена, формируется POST-запрос к /auth/validatecaptcha.

Ответ на данный запрос, по сути, должен снова ввести пользователя в процесс аутентификации. Для этого он содержит форму со всеми данными, указанными в последнем запросе пользователя на вход, включая его email-адрес пароль в формате простого текста. Чтобы добраться до этих учетных данных, злоумышленнику необходимо убедить жертву посетить вредоносный сайт перед входом в учетную запись PayPal.

Так как токен CSRF и ID сессии присутствуют в теле запроса, наряду с двумя другими токенами, учетные данные жертвы можно получить, если известны все токены, использованные в запросе. Значение одного из этих неизвестных токенов не проходит валидацию, тогда как другим является токен recaptcha, предоставляемый Google при решении задачи reCAPTCHA. Последний не привязан к сеансу, то есть подходит любой действительный токен, в том числе из сервиса автоматического решения.

Используя вышеприведенную информацию, исследователь создал экслпоит, который сначала использовал XSSI-уязвимость для получения действительных токенов жертвы, а затем предпринимал попытку брутфорса, чтобы вызвать срабатывание защитного механизма.
1_jzKlO-gvU6iEKd9GvRyUsg.png
Бирсан сообщил об уязвимости представителям PayPal через платформу HackerOne еще в ноябре 2019 года. Уже 11 декабря 2019 года разработчики выпустили патч, а специалист был вознагражден за обнаружение ошибки $15.300.
 

SEF

кидок
Кидок
Joined
Jan 12, 2020
кидок
Кидок
1 lvl
56
Messages
166
Reaction score
Please note, if you want to make a deal with this user, that it is blocked.
Я думаю что с такой дырой он мог бы на много больше сделать чем эта премия в 15 000 $. Но совесть человеку не позволяет)
Пришёл бы на expclan,создал бы топик,и загнал весь форум под себя) Изи мани :unsure:
 

smtrpin

Масляные булки
Joined
Jan 12, 2020
Масляные булки
1 lvl
1,013
Messages
1,033
Reaction score
Я думаю что с такой дырой он мог бы на много больше сделать чем эта премия в 15 000 $. Но совесть человеку не позволяет)
Пришёл бы на expclan,создал бы топик,и загнал весь форум под себя) Изи мани :unsure:
Не забывай об уголовном преследовании. Тем более ему нужно убедить жертву посетить вредоносный сайт перед палкой. Массовости уже не получится, так что 15к зеленых подняли ему настроение.
 

SEF

кидок
Кидок
Joined
Jan 12, 2020
кидок
Кидок
1 lvl
56
Messages
166
Reaction score
Please note, if you want to make a deal with this user, that it is blocked.
Не забывай об уголовном преследовании. Тем более ему нужно убедить жертву посетить вредоносный сайт перед палкой. Массовости уже не получится, так что 15к зеленых подняли ему настроение.
Ну...люди же как-то кардят,и живут долго и счастливо) так что...Тут дело в креативностисмайллл
 

smtrpin

Масляные булки
Joined
Jan 12, 2020
Масляные булки
1 lvl
1,013
Messages
1,033
Reaction score
Ну...люди же как-то кардят,и живут долго и счастливо) так что...Тут дело в креативностисмайллл
Ну так это не совсем *******. Он получит лишь логин и пароль для авторизации. При этом ему нужно уломать жертву, чтобы та по пунктам прошлась.
 

SEF

кидок
Кидок
Joined
Jan 12, 2020
кидок
Кидок
1 lvl
56
Messages
166
Reaction score
Please note, if you want to make a deal with this user, that it is blocked.
Ну так это не совсем *******. Он получит лишь логин и пароль для авторизации. При этом ему нужно уломать жертву, чтобы та по пунктам прошлась.
Ну я говорю,дело в креативности) По моему есть люди которые занимаются снятьем балика с палки и их ничего не останавливает)
 
Top