OAuthは、PayPalを含む多くのインターネット大手が採用しているトークンベースの認証のオープンスタンダードとして機能します。 これが、ハッカーがユーザーからOAuthトークンを盗むことを許可する可能性のあるオンライン決済サービスの重大な欠陥の発見が、PayPalのスクランブリングを送信してパッチを展開した理由です。

セキュリティ研究者でアドビのソフトウェアエンジニアであるアントニオサンソは、自分のOAuthクライアントをテストした後、この欠陥を発見しました。 PayPalに加えて、SansoはFacebookやGoogleなどの他の主要なインターネットサービスにも同じ脆弱性を検出しました。

Sansoは、PayPalが redirect_uri パラメーターを処理してアプリケーションに特定の認証トークンを与える方法に問題があると言います。 このサービスは、2015年以来、redirect_uriパラメーターを確認するために拡張リダイレクトチェックを使用しています。それでも、9月にシステムの調査を開始したときに、Sansoがこれらのチェックをバイパスすることを止めませんでした。

開発者はPayPalを使用して、アプリをサービスに参加させるためにトークン要求を生成できるダッシュボードを使用できます。 結果のトークン要求は、PayPal承認サーバーに送信されます。 現在、Sansoは、PayPalが認証プロセス中に有効なredirect_uriパラメーターとしてlocalhostを認識する方法にエラーを発見しました。 彼は、このメソッドが誤ってOAuthを実装したと言いました。

検証システムのゲーム

その後、SansoはゲームPayPalの検証システムに進み、それ以外の場合は機密のOAuth認証トークンを公開します。 彼は、特定のドメインネームシステムエントリを自分のWebサイトに追加することでシステムをだまし、localhostがPayPalの完全一致検証プロセスをオーバーライドするマジックワードとして機能したことに注目しました。

Sansoによれば、この脆弱性によりPayPal OAuthクライアントが侵害された可能性があります。 彼は、OAuthクライアントを作成するときに、非常に具体的なredirect_uriを作成するようユーザーにアドバイスしました。 Sansoはブログ投稿で次のように書いています。

https：// yourouauthclientcom / oauth / oauthprovider / callbackを登録してください。 https：// yourouauthclientcom /またはhttps：// yourouauthclientcom / oauthだけではありません。

PayPalは当初、Sansoの調査結果を信じていませんでしたが、同社は最終的にその決定を再検討し、現在は欠陥の修正を発行しました。

また読む：

• 使用するWindows 10のベストインボイスソフトウェア7
• Wallet for Windows 10 Mobileは、Insidersに非接触モバイル決済をもたらします