want to advertise here $100 / views

May 29, 2013

mencuri data pengguna pribadi untuk PayPal account hacking

Jika Anda membuat banyak uang dan Anda ingin menyimpan catatan transaksi Anda, kemudian menggunakan sistem Pelaporan PayPal Anda dapat secara efektif mengukur dan mengelola bisnis Anda.


Nir Goldshlager, pendiri Breaksec dan Peneliti Keamanan melaporkan cacat kritis dalam sistem Pelaporan Paypal yang memungkinkan dia untuk mencuri data pribadi dari account PayPal.

Memanfaatkan kerentanan yang ia temukan, memungkinkan dia untuk mengakses informasi keuangan dari setiap pengguna PayPal termasuk alamat pengiriman alamat korban Email, Nomer Telpon, Nama Item, Keterangan Jumlah, Nama lengkap, ID Transaksi, ID Faktur, Transaksi, Subjek, ID Akun, Paypal referensi ID dll

Ia menemukan bahwa PayPal menggunakan menjalankan aplikasi Iportal (aplikasi pihak ketiga) untuk menampilkan laporan pelanggan, sehingga Nir download versi trial dari aplikasi ini untuk tujuan pengujian dari situs resminya.

Setelah mendalam melalui kode sumber versi trial, Nir terletak sebuah file bernama getfolderitems.do yang memungkinkan dia untuk mengakses data pengguna tanpa kredensial.

Nir menemukan bahwa, Getfolderitems.do file yang memiliki parameter ID dari 7-8 karakter numerik yang dapat dimanipulasi mendapatkan id tanda rahasia masing-masing pengguna dengan ID yang sama. i.e getfolderitems.do? id = 392.302.










Setelah mendapatkan token ID rahasia rekening korban, ia menggunakan parameter yaitu getfolderitems.do? Folder folder = / pengguna / secretokenidoftheuser untuk mengakses data pribadi korban, karena akses diblokir Paypal ke pengguna folder langsung tanpa folder yaitu tanda getfolderitems.do? = / pengguna /.

yaitu URL:https://business.paypal.com/acweb/getfolderitems.do?folder=/users/tokenidofthevictim/, di mana tokenidofthevictim adalah tanda rahasia korban.

hacking, news, acker paypal

newss












Cacat ini yang telah dieksploitasi untuk tujuan demo saja, kini ditetapkan oleh tim Keamanan Paypal.

Sources : The Hacker News

Artikel Terkait

0komentar:

Post a Comment