Защита paypal

23 декабря 2014
Автор: vova

Система paypal

paypal1 Популярнейшая система по сопровождению онлайн платежей, которая ставит своей целью обеспечить максимальный уровень безопасности проводимых финансовых операций между пользователем и продавцом, как оказалось, имеет довольно серьезную уязвимость в системе защиты paypal от поддельных запросов. Критическая уязвимость позволяет полностью обходить систему защиты от межсайтовых поддельных запросов. Чтобы совершить подобную атаку злоумышленник должен обманным путем заставить пользователя перейти по заранее заготовленной ссылке, через которую в последующем будут создаваться поддельные запросы от лица пользователя-жертвы.


Безопасность в системе Paypal

Атака реализуема только в случае если пользователь был авторизован на веб-ресурсе, который подвергается этой атаке. За данный элемент в защите paypal отвечает система CRSF, которая позволяет проверять подлинность любого запроса, который был сделан пользователем. Определенный параметр присутствует в теле каждого запроса, но при этом специальный параметр Auth подвергается изменениям для каждого запроса в отдельности. В результате подробных исследований было выявлено, что параметр Auth действует для конкретного пользователя даже при повторном его использовании. Если злоумышленнику удастся получить ранее сгенерированный CRSF-токен, то он сможет легко совершить любые действия от зарегистрированного в тот момент пользователя.
Однако, не смотря на кажущуюся серьезной уязвимость в защите paypal, он, по всей видимости, не представляет реальной угрозы, так как пока что не обнаружено действующих способов получить значения Auth из действующей сессии пользователей. Auth проверяет каждый пользовательский запрос, поэтому было решено проверить неавторизованные попытки проведения запросов на отправку средств. В таком случае защита paypal попросит предоставить адрес электронной почты либо пароль. В результате злоумышленник, владеющий электронным адресом, может предоставить его, а пароль ввести любой, тем самым перехватив запрос, который будет иметь подлинный CRSF-токен для авторизации. Проделывая подобные действия, злоумышленник получает возможность, обойдя соответствующий протокол защиты paypal, создать подделку практически любого запроса от лица взломанного пользователя.

Смена пароля в Paypal мошенниками

После проверки процесса смены пароля, разработчики пришли к выводу, что злоумышленник не сможет сменить пароль пользователя, не имея ответов на секретные вопросы. Помимо этого, пользователь не сможет произвести замену секретных вопросов без идентификации с помощью изначального пароля. При дальнейшем рассмотрении оказалось, что процессы создания секретных вопросов, запускаемые при прохождении пользователем регистрации, не защищаются паролем и могут быть использованы для сброса вопросов неоднократно. Таким образом, если злоумышленник имеет доступ к CFSR-Auth, он может подделать процедуру смены секретных вопросов пользователя, минув, тем самым, и этот этап защиты paypal.
Процесс первой попытки генерации секретных вопросов никак не защищается паролем и поэтому может быть использован многократно. Все вышеперечисленные действия в совокупности могут привести к нацеленной на определенных пользователей атаке с использование подделки запросов, в результате которой злоумышленник получит контроль над аккаунтом жертвы и сможет совершать следующие действия: удалять и добавлять адреса электронной почты, менять секретные вопросы, адрес доставки, расчетный адрес, способы оплаты и настройки пользователя, а также многое другое. В ближайшем будущем уязвимость в защите paypal будет устранена, а сама система предлагает денежное вознаграждение каждому, кто обнаружит проблемы в безопасности системы.

Опубликовать в Twitter Написать в Facebook Поделиться ВКонтакте В Google Plus Записать себе в LiveJournal Показать В Моем Мире Поделиться ссылкой в Я.Ru
Рубрика: Деньги
Оставьте комментарий

*