تعرض موقع paypal الى ثغرات في تطبيق الويب من النوع الخطير, تتيح هذه
الثغرات ان يقوم المخترق بالتحكم بحساب اي مستخدم للموقع وذلك عن طريق نقرة
واحدة بزر الفأرة, مما يهدد حوالي 156 مليون مستخدم لخدمات هذا الموقع و
الذي يعتبر من اكبر المواقع التي تقدم خدمات الدفع الإلكتروني.
الخبير الامني المصري ياسر علي قام بإكتشاف ثلاثة ثغرات خطيرة في الموقع الإلكتروني الخاص بشركة paypal وهي كالآتي :
- CSRF
- تغيير السؤال الامني
- تجاوز ال الرموز الخاصة بالتحقق من المستخدم
هذا وقام الباحث الامني ياسر علي بعمل فيديو يشرح فيه كيفية استغلال هذه الثغرات على شكل استغلال واحد يشملها جميعا, حيث يمكن للمخترق من خلال الإستغلال ان يقوم بإضافة بريد الكتروني ثانوي لحساب الضحية على موقع paypal وتغيير السؤال الامني الخاص بحساب الضحية. يذكر بأن موقع paypal يقوم بإنشاء رموز تحقق لفحص فيما اذا كانت الطلبات المرسلة من نفس صاحب الحساب او لا, الا ان الباحث الامني المصري استطاع توليد رمز لتجاوز عملية الفحص.
وقد قام الفريق الخاص بموقع paypal بحل المشكلة و سدها و مكافئة الباحث الامني على اكتشافه.
يذكر بأن الباحث الامني نفسه قد قام قبل عدة أشهر بإكتشاف ثغرة مشابهة في موقع ebay الخاص بالشراء عن طريق الإنترنت.
فديوه من مكتشف الثغره
https://www.youtube.com/v/KoFFayw58ZQ
الموضوع منقول للافادة.
الخبير الامني المصري ياسر علي قام بإكتشاف ثلاثة ثغرات خطيرة في الموقع الإلكتروني الخاص بشركة paypal وهي كالآتي :
- CSRF
- تغيير السؤال الامني
- تجاوز ال الرموز الخاصة بالتحقق من المستخدم
هذا وقام الباحث الامني ياسر علي بعمل فيديو يشرح فيه كيفية استغلال هذه الثغرات على شكل استغلال واحد يشملها جميعا, حيث يمكن للمخترق من خلال الإستغلال ان يقوم بإضافة بريد الكتروني ثانوي لحساب الضحية على موقع paypal وتغيير السؤال الامني الخاص بحساب الضحية. يذكر بأن موقع paypal يقوم بإنشاء رموز تحقق لفحص فيما اذا كانت الطلبات المرسلة من نفس صاحب الحساب او لا, الا ان الباحث الامني المصري استطاع توليد رمز لتجاوز عملية الفحص.
وقد قام الفريق الخاص بموقع paypal بحل المشكلة و سدها و مكافئة الباحث الامني على اكتشافه.
يذكر بأن الباحث الامني نفسه قد قام قبل عدة أشهر بإكتشاف ثغرة مشابهة في موقع ebay الخاص بالشراء عن طريق الإنترنت.
فديوه من مكتشف الثغره
الموضوع منقول للافادة.
0 التعليقات:
إرسال تعليق