Artykuły dotyczące tematu: Paypal

dodany: 28.05.2013 | tagi: , , , ,

PayPal płaci hakerom, gdy znajdą błąd. Nie uznał błędu, który znalazł 17-latek

12

PayPal ma lukę XSS. Firmę powiadomił o tym nastoletni haker. PayPal tego nie uznał.

Jest nim Robert Kugler – 17-letni uczeń z Niemiec, który interesuje się bezpieczeństwem systemów komputerowych.

W wiadomości do SecLists.Org, opublikowanej 24 maja, napisał:

Chciałbym was ostrzec – PayPal.com ma lukę podatną na ataki Cross-site scripting*. PayPal Inc. ma uruchomiony program typu bug bounty [przyp. red. – program, za pomocą którego hakerzy mogą zgłaszać znalezione przez siebie błędy, a PayPal im za to zapłaci]. Obejmuje on też podatności XSS. Dlatego postanowiłem (…) wysłać informację o błędzie do Site Security PayPala.

Więcej informacji o programie Bug Bounty.

W e-mailu nastolatek określił miejsce, gdzie się znajduje błąd i jak może zostać wywołany – przesłał też screen:  http://picturepush.com/public/13144090.

Niestety – PayPal nie uznał jego odkrycia. I nie zapłacił młodemu hakerowi.

Site Security PayPala twierdzi, że:

Aby zakwalifikować się do Bug Bounty Program, nie można: (…) mieć mniej niż 18 lat. Jeśli PayPal odkryje, że researcher nie spełnia powyższych kryteriów, PayPal usunie go z BBP i zdyskwalifikuje, przez co nie będzie mógł on otrzymywać zapłaty za znalezienie podatności.

PayPal chce zaoszczędzić? Nastoletni haker nie zarzuca tego amerykańskiej firmie. Stwierdził jedynie, że odrzucenie wyników jego testów to

 nie najlepszy sposób motywowania badaczy bezpieczeństwa.

 

*Cross-site scripting (XSS) – sposób ataku na serwis WWW polegający na osadzeniu w treści atakowanej strony kodu (zazwyczaj JavaScript), który wyświetlony innym użytkownikom może doprowadzić do wykonania przez nich niepożądanych akcji. Skrypt umieszczony w zaatakowanej stronie może obejść niektóre mechanizmy kontroli dostępu do danych użytkownika.

Źródło: pl.wikipedia.org

SecLists.Org – to serwis, który prowadzi Gordon Lyon – jego pseud. internetowy to Fyodor – ekspert bezpieczeństwa sieciowego i oprogramowania open source, a także pisarz i hacker w dobrym tego słowa znaczeniu (zobacz jego bio w Wikipedii). Publikuje na nim informacje, które dotyczą bezpieczeństwa i programów open source’owych dostępnych w Internecie, których źródłem są jego własne spostrzeżenia powstające przy tworzeniu programów, książek, artykułów, stron WWW i innych projektów.

dodany: 31.01.2013 | tagi: , , ,

PayPal łata lukę, a bug-hunter zgarnia 3000$

0

PayPal załatało lukę bezpieczeństwa, która mogła pozwolić hakerom skompromitować bazę danych serwisu płatniczego przy pomocy ataku SQL injection.

3000$ nagrody poszło w ręce naukowców z Vulnerability Laboratory za odkrycie i zgłoszenie krytycznego błędu w systemie PayPal w sierpniu zeszłego roku. W zeszłym tygodniu zespół postanowił wysłać opis zakresu załatanej luki na listę mailingową Full Disclosure.

Usterka została znaleziona w kodzie, który potwierdza adres e-mail posiadacza rachunku. Pozwalała ona na ominięcie filtrów zabezpieczających PayPala przez napastnika,  skompromitowanie bazy danych i kradzież poufnych informacji.

Blind SQL injection zostało wykryte w oficjalnej aplikacji e-commerce PayPala. Luka pozwala atakującemu lub lokalnemu użytkownikowi z niskimi uprawnieniami do wstrzyknięcia poleceń SQL do wspomnianych baz danych aplikacji. Luka znajduje się w module potwierdzenia adresu e-mail. Gdy moduł ponownie wczyta stronę następuje pomyślne wykonanie polecenia SQL. Wykorzystanie tej luki wymaga od aplikacji użytkownika o niskich uprawnieniach dostępu do strefy internetowej i może być przetwarzane bez jego udziału.

Vulnerability Laboratory opublikowało także exploit  proof of concept w celu podkreślenia swoich obaw. Nie są znane dowody mówiące o wykorzystaniu luki przed jej załataniem.

PayPal odmówił jakiegokolwiek komentarza na temat przyznanej nagrody wydając jedynie oświadczenie, w którym mówi, że nie będzie żadnych rozmów na temat programu nagród za zidentyfikowane luki i zapewniając, że luka SQL injection została naprawiona.

Muszę stwierdzić, że jak na taką lukę to dość niska nagroda. Czyżby PayPal miał węża w kieszeni?

dodany: 28.11.2012 | tagi: , , ,

XSS na PayPalu

5

W systemie PayPal odnaleziono poważną lukę, która umożliwia atak XSS. Odkrył ją zespół Vulnerability Laboratory Research Team. Błąd jest na tyle poważny, gdyż umożliwia zdalny atak wraz z wykonaniem złośliwego kodu. Udany atak pozwala na przejęcie sesji transakcji, a w gorszym wypadku nawet na kradzież konta.

Spreparowany przykładowy link nie jest skomplikowany – jako dowód wystarczyło dodać do adresu tak proste polecenie:

Oczywiście powyższy kod wyświetla wyłącznie informację „VulnerabilityLab”, aczkolwiek równie dobrze moglibyśmy zamieścić tam złośliwy skrypt. Na szczęście PayPal podszedł do problemu poważnie i usunął już lukę.

Niestety to nie była jedyna dziura odnaleziona przez niemiecki zespół badaczy. Braki w bezpieczeństwie znaleziono w webowej aplikacji PayPal Plaza.

Podobnie jak w powyższym przypadku, możliwe jest wstrzyknięcie złośliwego kodu. Problem leży konkretnie w 5 module aplikacji o nazwie eGreeting. Pełne wykorzystanie luki umożliwia na przejęcie sesji, phishing.

Przykładowy spreparowany mail z e-kartką wygląda następująco:

Oczywiście zamiast tekstu PERSISTENT INJECTED SCRIPT CODE OUTSIDE OF GREETINGSCARD ITSELF
można było umieścić dowolną treść. Można było, gdyż PayPal w tym wypadku także nie zbagatelizował problemu, szybko łatając lukę. Co prawda wspomniany problem nie dotyczył bezpośrednio  naszego kraju, gdyż serwis ten nie jest dostępny w naszym języku.

dodany: 24.10.2012 | tagi: , ,

Uwaga na fałszywe e-maile od PayPal

7

Tym razem ostrzegamy przed mailami wykorzystującymi wizerunek PayPala. Maile wyglądają łudząco podobnie do oryginalnych. Faktycznie zawierają link prowadzący do ściągnięcia malware’u – przestrzega nas o tym Dancho Danchev na swoim blogu.

Zagrożenie kryjące się pod linkiem to backdoor.win32.androm.fm – na szczęście większość programów antywirusowych potrafi wykryć ten malware. Jeśli nie, to nasz komputer może być zdalnie kontrolowany przez atakującego .

 

 

Wykorzystanie wizerunku znanego systemu płatności internetowych do propagowania malware’u miało już wielokrotnie miejsce w przeszłości. W przypadku takich maili powinniśmy zachować szczególną ostrożność.

dodany: 17.10.2012 | tagi: , ,

Tokenowy system autoryzacji PayPal nie taki bezpieczny

0

PayPal już dość dawno wprowadził dwupoziomowy system autoryzacji, który poza standardowym hasłem i loginem wykorzystuje token generowany przez urządzenie elektroniczne.

Kod tokena zmienia się co 30 sekund, co zabezpiecza przed nieautoryzowanym użyciem (np. kradzież/zgubienie urządzenia) oraz czyni potencjalne keyloggery bezużytecznymi. W zasadzie każde hasło jest jednorazowe.

Kolejną zaletą urządzenia jest to, że nie może ono zostać zainfekowane malwarem, w przeciwieństwie do naszego komputera.

Niestety, PayPal nie przemyślał wszystkiego – problem pojawia się wtedy, jeśli zapomnimy nasze główne hasło. Wtedy PayPal wysyła nam na maila jednorazowy link, który pozwala dokonać jego zmiany, co praktykuje wiele znanych portali. Sęk w tym, że w tym przypadku system nie pyta się o kod wygenerowany przez nasz osobisty token. Co więcej, będąc tak zalogowanym można dokonać płatności, a system dalej nie zapyta się o token.

W rezultacie każdy, kto będzie miał dostęp do naszego komputera, także  i maila, może w łatwy sposób wyczyścić nasze paypalowe konto, czego dowiódł Troy Cunningham, testując powyższy sposób na komputerze ojca.

Na razie problem ten nie dotyczy naszego kraju, gdyż rodzimy PayPal nie wprowadził jeszcze u nas tego systemu.