Egipatski istraživač računarske bezbednosti, Yasser H. Ali, otkrio je tri kritične ranjivosti u popularnom servisu za online plaćanje, PayPal.
Otkrio je čak tri ranjivosti među kojima i XSRF (eng. Cross-site request forgery). Odnosno ako žrtva poseti maliciozan HTML link, napadač može registrovati svoju adresu elektronske pošte kao dodatnu adresu na žrtvin PayPal račun. Za uspešno resetovanje korisnikove lozinke potrebno je znati i odgovore na bezbednosna pitanja, ali ranjivost napadaču omogućava zaobilaženje istog i uspešno resetovanje lozinke.
Na taj način napadač dobija pristup računu žrtve. PayPal koristi i autorizacione tokene, ali pronađena ranjivost omogućava i njihovo zaobilaženje.
Video s dokazom koncepta pogledajte ispod, a više se možete informisati na Yasserovom blogu.
PayPal nalog je moguće hakovati jednostavnije nego što mislite
10:04
nema komentara
Postavi komentar
Vaš komentar: