OAuth berfungsi sebagai standard terbuka bagi pengesahan berasaskan token yang digunakan oleh banyak gergasi internet, termasuk PayPal. Itulah sebabnya penemuan kecacatan kritikal dalam perkhidmatan pembayaran dalam talian yang boleh membenarkan penggodam mencuri token OAuth daripada pengguna telah menghantar PayPal berebut untuk melancarkan patch.

Antonio Sanso, penyelidik keselamatan dan jurutera perisian Adobe, mendapati kecacatan itu selepas menguji klien OAuthnya sendiri. Sebagai tambahan kepada PayPal, Sanso juga mengesan kerentanan yang sama dalam perkhidmatan internet utama lain seperti Facebook dan Google.

Sanso mengatakan masalahnya terletak pada cara PayPal mengendalikan parameter redirect_uri untuk memberikan aplikasi token pengesahan tertentu. Perkhidmatan ini telah menggunakan pemeriksaan peralihan yang dipertingkatkan untuk mengesahkan parameter redirect_uri sejak tahun 2015. Namun, ia tidak menghentikan Sanso daripada melewati pemeriksaan ini ketika ia mula menyiasat sistem itu pada bulan September.

PayPal membolehkan pemaju menggunakan papan pemuka yang boleh menghasilkan permintaan token untuk mendapatkan aplikasi mereka dengan perkhidmatan tersebut. Permintaan token yang terhasil kemudiannya dihantar ke pelayan pengesahan PayPal. Sekarang, Sanso mendapati ralat dalam cara PayPal mengenali localhost sebagai parameter redirect_uri yang sah semasa proses pengesahan. Beliau berkata kaedah ini salah dilaksanakan OAuth.

Permainan sistem pengesahan

Sanso kemudian pergi ke sistem pengesahan permainan PayPal dan memaparkannya sebagai token sah pengesahan OAuth yang sulit. Dia berjaya menipu sistem dengan menambahkan entri sistem nama domain tertentu ke laman webnya, dengan menyatakan bahawa localhost berfungsi sebagai kata sihir untuk mengatasi proses pengesahan padanan PayPal yang tepat.

Kerentanan itu boleh menjejaskan mana-mana pelanggan PayPal OAuth mengikut Sanso. Beliau menasihati pengguna untuk membuat redirect_uri yang sangat spesifik apabila membuat pelanggan OAuth. Sanso menulis dalam jawatan blog:

DO mendaftar https: // yourouauthclientcom / oauth / oauthprovider / callback. TIDAK LANGSUNG https: // yourouauthclientcom / atau https: // yourouauthclientcom / oauth.

PayPal tidak mempercayai penemuan Sanso pada mulanya, walaupun syarikat itu akhirnya menimbang semula keputusannya dan kini mengeluarkan penukaran kepada cacat.

Baca juga:

• 7 perisian invois Windows 10 terbaik untuk digunakan
• Wallet untuk Windows 10 Mobile membawa pembayaran mudah alih tanpa sentuh kepada Orang Dalam