Εντοπίστηκε νέα ευπάθεια XSS στο PayPal
Κατηγορία : Τεχνολογία / Ημερομηνία Δημοσίευσης : 2015-09-06 12:00:00
0 0

Μια ευπάθεια stored XSS, η οποία θα μπορούσε να χρησιμοποιηθεί εύκολα από τους χάκερ ως σημείο εισόδου για περαιτέρω επιθέσεις, εντοπίστηκε και αναφέρθηκε στην PayPal από ερευνητές της BitDefender.

Στις επιθέσεις μέσω stored XSS, οι επιτιθέμενοι χρησιμοποιούν κακόβουλα URLs, ειδικά σχεδιασμένα για την αποθήκευση του κώδικα εκμετάλλευσης στο διακομιστή. Αυτό πραγματοποιείται με τη βοήθεια ενός σχολίου σε blog, ενός post σε φόρουμ, μιας καταχώρησης σε βάση δεδομένων, και ούτω καθεξής.

Όταν ένας χρήστης αποκτήσει πρόσβαση σε μια σελίδα όπου έχει “αποθηκευτεί” ο κώδικας της επίθεσης, τότε το συγκεκριμένο τμήμα του κώδικα φορτώνεται στο πρόγραμμα περιήγησής του και εκτελείται.

Η ομάδα της BitDefender αποκάλυψε την ύπαρξη της ευπάθειας XSS στο dashboard των πελατών της PayPal, και πιο συγκεκριμένα στην ενότητα Request Money -> Create Invoice.

Σύμφωνα με τον ερευνητή Liviu Arsene, το ζήτημα της ευπάθειας έγκειται στον τρόπο με τον οποίο οι διευθύνσεις URL κρυπτογραφούνται από το σύστημα του PayPal, όταν οι χρήστες ανεβάζουν αρχεία στην ενότητα “Create Invoice”.

Η ευπάθεια XSS θα μπορούσε να έχει αξιοποιηθεί για την διανομή κακόβουλου περιεχομένου.

Μέσω της εκμετάλλευσης της συγκεκριμένης ευπάθειας, οι εισβολείς θα ήταν σε θέση να αντικαταστήσουν τα αρχεία εξόδου της PayPal, με αρχεία της μορφής “~ test.bat”, αντί τιμολογίων.

Οι επιτιθέμενοι θα μπορούσαν να ελέγχουν το περιεχόμενο των αρχείων αυτών, διανέμοντας κακόβουλο λογισμικό ή χρησιμοποιώντας τα ως σημείο εισόδου για περαιτέρω επιθέσεις.

Δεδομένου ότι τα αρχεία προέρχονται από τους servers της PayPal, οι μη υποψιασμένοι χρήστες δεν θα είχαν κανένα δισταγμό να ανοίξουν τα αρχεία .bat, νομίζοντας ότι πρόκειται για κάποιο τιμολόγιο αποθηκευμένο σε κάποια “περίεργη” μορφή.

Mετά τον εντοπισμό του κενού ασφάλειας, η εταιρεία κατασκευής antivirus, Βitdefender, συνεργάστηκε στενά με το προσωπικό της PayPal και η ευπάθεια επιδιορθώθηκε με επιτυχία.

Μόλις πριν από μια εβδομάδα, η PayPal επιδιόρθωσε μια ακόμη ευπάθεια stored XSS, η οποία θα μπορούσε να εκθέσει τα προσωπικά στοιχεία των χρηστών σε επιτιθέμενους.

blog comments powered by Disqus
ΤΕΛΕΥΤΑΙΑ ΝΕΑ
στο www.Rexbo.gr
// Provide alternate content for browsers that do not support scripting // or for those that have scripting disabled. Alternate HTML content should be placed here. This content requires the Adobe Flash Player. Get Flash
ΔΗΜΟΣΚΟΠΗΣΕΙΣ
Ποια η γνώμη σας για την κλιματική αλλαγή;
Υπάρχει κλιματική αλλαγή, και οφείλεται στον άνθρωπο και στον τρόπο ζωής του
Υπάρχει κλιματική αλλαγή, αλλά είναι άλλη μία φυσιολογική εξέλιξη της γης με την πάροδο των ετών
Δεν υπάρχει κάποια αλλαγή στο κλίμα, είναι υπερβολές αυτά που ακούγονται
Δεν ξέρω / Δεν απαντώ
Βρείτε ότι αναζητάτε στην αγορά. Εμπορικά καταστήματα που ικανοποιούν όλες σας τις ανάγκες για... Ε Ι Δ Η Σ Ε Ι Σ, Σπίτι, Εκπαίδευση, Ένδυση-Υπόδηση, Βιβλία-Σχολικά Είδη, Παροχή Υπηρεσιών, Ταξίδι & Χόμπυ, Διάφορα
Διαβάστε την ανεξάρτητη εφημερίδα Δυτικής Αθήνας
Επιλέξτε την κατηγορία που σας ενδιαφέρει: Π Ρ Ο Τ Α Σ Ε Ι Σ, Ανάλυση Ταινιών, Αίθουσες, Cafe, Bar, Club, Εστιατόρια, Μεζεδοπωλεία, Ταβέρνες, Στο χέρι, Delivery
Διαφημιστείτε έξυπνα και οικονομικά στην απόλυτη δημοσιογραφική πύλη του Περιστερίου. Επικοινωνήστε μαζί μας για να σας προτείνουμε αξιόπιστες διαφημιστικές λύσεις για την επιχείρηση σας.
MAILING LIST
Όροι Χρήσης
Επικοινωνήστε μαζί μας

Για οποιαδήποτε απορία μη διστάσετε να επικοινωνήσετε μαζί μας.

WestNews.gr
Αιμιλίου Βεάκη 28 – 121 34 – Περιστέρι
Τηλ. 210 57 15 466
Email: info@westnews.gr
© 2011 - 2020 westnews.gr, all rights reserved - Web Design by