.jpg "وجود خطأ المصادقة في API الهاتف النقال باي بال يسمح بالوصول إلى الحسابات الممنوعة")
ضعف الأمن يقيم فعلا في إجراء المصادقة API النقال من الخدمات عبر الإنترنت باي بال، والتي لا تحقق لحسابات باي بال منعت والمقيدة.
كيف يعمل التعرض
في حالة إذا كان المستخدم باي بال يدخل اسم المستخدم غير صحيح أو كلمة المرور مزيج عدة مرات في محاولة للوصول إلى الحساب، ثم لأسباب أمنية، وباي بال وتقييد المستخدم من فتح أو الوصول له / لها حساب على جهاز كمبيوتر حتى يرد إلى وتقدم عدد من المسائل الأمنية.
ومع ذلك، إذا كان المستخدم نفسه، في نفس الوقت يتحول تلقائيا إلى جهاز الهاتف النقال ويحاول الوصول إلى حساب PayPal مغلقة مؤقتا مع المواصفات المناسبة عن طريق باي بال العميل التطبيق المحمول الرسمي من خلال API، وسيكون المستخدم الحصول على الوصول إلى حساب من دون تقديم أي التفاصيل أمنية إضافية.
ما حدث من خطأ
"الشيكات API عميل فقط في حالة وجود حساب، وAPI لا يتحقق في جزئها أو الحجب الكامل للحساب. فمن الممكن للمستخدم منعت من الوصول إلى حساب PayPal له وقادرة على جعل المعاملات وانه يمكن إرسال الأموال من حساب "، تنص الوثيقة الكشف عن الضعف.
لبعض الأسباب الأمنية الأخرى، مثل لمنع المحتال من الوصول إلى الأموال التي تم الحصول عليها بطريقة غير مشروعة، يمكن باي بال نفى مؤقتا للمستخدمين الوصول إلى حساب باي بال بهم. في مثل هذه الحالات، يمكن لمهاجم بعيد "الدخول من خلال API المحمول مع باي بال تقييد البوابة للوصول إلى معلومات الحساب أو التفاعل مع حساب خطر."
المبلغ عنها خلال سنة واحدة ولكن لا يزال NO تصحيح المتوفرة
تم اكتشاف الضعف الحرجة في باي بال قبل نحو سنة من قبل بنيامين كونز الماجري من مختبر الضعف، وكباحث مسؤول، أفاد الخلل لفريق بال، ولكن الإصلاح للضعف لا تزال غير متوفرة. كما تم دفع أي مكافأة علة له لاكتشاف والكشف مسؤولة من الشوائب.
ووفقا للوثيقة الكشف الضعف، تم تعيين الضعف تجاوز قيود المصادقة في باي بال خدمة الإنترنت على درجة عالية CVSS (الضعف المشترك نظام التهديف) قاعدة 6.2، ولكن تم تعيين أي معرف لعلة.
ولكن، على الرغم من الإجابة عن تلك الأسئلة، استخدم الباحث جهاز دائرة الرقابة الداخلية له ودخل التركيبة الصحيحة من اسم المستخدم وكلمة المرور، التي منحت له بسهولة الوصول إلى حساب مجمد له، والسماح له لبدء المعاملات المالية.
المنتجات المتأثرة
ويؤثر ضعف تطبيقات الهاتف المتحرك دائرة الرقابة الداخلية لكلا فون وتطلب الشركة، لأنها فشلت في التحقق من وجود أعلام القيود التي لا تسمح بالوصول إلى حساب مجمد أو منعت مؤقتا. وفقا للباحث، يتأثر النسخة 4.6.0 من التطبيق دائرة الرقابة الداخلية، وتعمل عيب أيضا على أحدث نسخة 5.8.
شركة مملوكة باي، باي بال يوفر طريقة أسرع وأكثر أمانا لدفع والحصول على أموال. خدمة يعطي الناس أبسط الطرق لإرسال الأموال دون تقاسم المعلومات المالية، مع أكثر من 148 مليون الحسابات النشطة في 26 عملة وعبر 193 الأسواق، وبالتالي معالجة أكثر من 9 ملايين دفعات يوميا.
0 التعليقات