 |
||
Paypal ha corregido una vulnerabilidad de CSRFmsc hotline sat Wednesday, July 27, 2016 
PayPal corrigió una vulnerabilidad que permitía a un atacante cambiar el perfil de un usuario sin su consentimiento. La vulnerabilidad de CSRF (cross site request forgery) existía en PayPal.me, un sitio de la compañía lanzado el año pasado para permitir a sus usuarios solicitar apoyo para sus proyectos. Florian Courtial, un ingeniero de software francés que busca fallas en diferentes aplicativos en su tiempo libre, descubrió la vulnerabilidad y la publicó en su blog personal. Courtial ha divulgado previamente errores de Slack y la aplicación de gestión de proyectos Trello. Courtial encontró el error mientras inspeccionaba PayPal.com y PayPal.me en busca de vulnerabilidades de CSRF. Usando Burp Suite descubrió que podía eliminar o editar el token CSRF y, a su vez, actualizar la imagen de perfil de un usuario de PayPal. En la respuesta del servidor web faltaban cabeceras semejantes a; X-Frame-Options: DENY, algo que le permitía enviar un formulario. Mientras Courtial consiguió una falla en la aplicación, debido a otra cabecera que faltaba (X-Requested-With: XMLHttpRequest) en las respuestas del servidor web, afirma que todavía era capaz de cambiar la imagen del perfil. Se requiere una acción del usuario para llevar a cabo el ataque, afirma Courtial. Una víctima tendría que ser engañado para visitar un sitio malicioso que aloje el código de Courtial, lo que generaría el código HTML necesario para enviar un formulario y llevar a cabo el ataque CSRF. En seguridad web existe la política del mismo origen, el concepto permite a scripts contenidos en una página Web el poder interactuar con una segunda página web, aunque por sí solo no es suficiente para mitigar ataques de CSRF. En este caso, mediante una petición POST se puede enviar algún payload al servidor. Mediante la explotación de la vulnerabilidad lo peor que alguien podía hacer era cambiar la imagen de perfil de otro usuario. Pero ya que las páginas de Paypal.me se pueden utilizar con fines profesionales y sirven como un perfil público para los usuarios, puede llegar a ser vergonzoso para los mismos. Courtial informó del fallo a PayPal a través de HackerOne. Si bien no fue el error más crítico, su descubrimiento represento una recompensa de $ 750 dólares. Ver información original al respecto en Fuente: http://www.seguridad.unam.mx/noticia/?noti=2933 |
 RSS Noticias RSS Articulos RSS Descargas>> Compartircomparte con tus amigos, zonavirus.com
|