کد خبر:1018066
اشتراک گذاری
مرتب‌سازی نظرها براساس:

شناسایی یک حفره امنیتی خطرناک در Paypal

بر اساس گزارشات رسیده، سیستم پشتیبان جاوای شرکت پیپال در مقابل حمله ای که کارشناسان از یک سال پیش هشدار داده بودند، آسیب پذیر است.

به گزارش کلیک، PayPal یک آسیب پذیری جدی در سیستم مدیریت پشتیبانی خود شناسایی کرده است که حمله کنندگان را قادر می سازد تا دستورات دلخواه خود را اجرا کنند و به طور بالقوه یک برنامه دسترسی مخفی را نصب کنند.
این آسیب پذیری مربوط به تعدادی از باگ ها است که از غیر متوالی سازی برنامه های جاوا ایجاد می شوند و کارشناسان امنیتی از یک سال قبل درباره آن هشدار داده بودند.
در زبان های برنامه نویسی، متوالی سازی شامل فرآیند تبدیل داده ها به یک قالب دوتایی برای ذخیره سازی یا ارسال آن بر روی شبکه است. در صورتی که غیر متوالی سازی، روند معکوس این فرآیند است.
غیر متوالی سازی به خودی خود یک مشکل نیست، اما همانند اکثر فرآیندهایی که شامل پردازش ورودی های نامطمئن احتمالی هستند، اقداماتی باید انجام گیرد تا تضمین شود که این پردازش بدون خطر انجام می شود. برای مثال، یک حمله کننده می تواند برنامه ای متوالی شده بسازد که دارای نوعی کد جاوا باشد که برنامه آن را قبول کند و از آن برای اقدامات مخرب استفاده شود.

paypal-3

در ماه نوامبر پژوهشگرانی از یک شرکت به نام FoxGlove Security یک حمله آزمایشی را برای شناسایی آسیب پذیری غیر متوالی سازی در یک مرکز داده معروف به نام Apache Commons Collections ACC انجام دادند، که این ACC به صورت پیش فرض بر روی بسیاری از سرورهای بر پایه جاوا قرار داشت.
پژوهشگران امنیتی در آن زمان هشدار دادند که هزاران برنامه اینترنتی بر پایه جاوا، مانند انواع برنامه های سفارشی شرکت ها، احتمالاً در مقابل این حمله آسیب پذیر هستند و اعلام کردند که به احتمال فراوان هکرهای خوب و بد هردو برای ارزیابی آن دست به کار خواهند شد.

مایکل استپانکین، که یک شکارچی باگ مزد بگیر است و این آسیب پذیری را در وب سایت manager.paypal.com کشف کرده است، از جمله این هکرها است. او از پژوهش فروهوف، لاورنس و پژوهشگران FoxGlove الهام گرفته بود و حتی از یکی از ابزارهای تولیدی آنها استفاده کرد تا حمله خود را قدرتمند تر کند.
استپانکین بعد از تشخیص آسیب پذیری سایت PayPal نسبت به غیر متوالی سازی جاوا، قادر بود تا از این نقص برای اجرای دستورات دلخواه خود بر روی سرور اینترنتی اصلی این سایت استفاده کند.

hacker-credit-card-600x400

استپانکین در یک پیام اینترنتی اعلام کرد: "علاوه بر این، من توانستم یک ارتباط پشتیبانی با سرور خود برقرار کنم و برای مثال، یک برنامه دسترسی مخفی را بارگذاری و اجرا کنم. در نتیجه، توانستم به مرکز تولید داده های مورد استفاده در برنامه manager.paypal.com دسترسی پیدا کنم."

بعد از این که او این مسئله را به PayPal گزارش کرد و آن اثبات شد، با اینکه گزارش او تکراری محسوب می شد اما شرکت طبق برنامه شکار باگ خود به او پاداشی اهدا کرد، زیرا مشخص شد که یک پژوهشگر امنیتی دیگر همین مسئله را چند روز قبل گزارش کرده بود، این اتفاق اثبات می کرد که افرادی اخیراً در جستجو برای یافتن این نوع از آسیب پذیری هستند.
سازندگان باید اطمینان حاصل کنند که این شرکت پایگاه داده های ACC مورد استفاده در سرورها و برنامه های جاوای آنها که در معرض این نقص هستند را حداقل به نسخه های 3.2.2 یا 4.1 به روز رسانی می کند. با این وجود، احتمال دارد این نوع آسیب پذیری در پایگاه های دیگر نیز وجود داشته باشد و هنوز کشف نشده اند.

منبع:PCworld

نظرها

سر‌خط آخرین خبرها

خبرهای بیشتر
همکاری دیجی‌پی و بانک ملت وارد فاز عملیاتی شد

ثبت بیش از ۳هزار میلیارد تومان درخواست وام در فاز آزمایشی

پیشنهاد مرکز نمایندگی Ott درباره خرید بیسیم واکی تاکی

Ott ارائه دهنده بالاترین سطح کیفی خدمات در زمینه خرید و فروش بهترین و ارزان...

توقف همیشگی سرویس گوگل استادیا در تاریخ 28 دی 1401

گوگل اعلام کرده است که سرویس استریم بازی خود استادیا را متوقف می کند. این...

تبعات منفی محدودیت و فیلترینگ اینترنت در ایران حتی سنگین تر از تحریم ها

در حالی که به نظر می رسد فصل جدید استفاده در اینترنت با محدودیت های شدید در...

بیانیه انجمن تجارت الکترونیک در محکومیت قطع اینستاگرام و محدودیت اینترنت
بیانیه انجمن تجارت الکترونیک در محکومیت قطع اینستاگرام و محدودیت اینترنت

انجمن تجارت الکترونیک ایران با صدور بیانیه ای ضمن اعتراض به محدودیت های...

نحوه جلوگیری از مسدود شدن اکانت اینستاگرام به خاطر استفاده از Vpn

این روزها به واسطه فیلتر شدن  اینستاگرام بسیاری از کاربران به سمت استفاده از...

حمله آذری جهرمی به تصمیم قطع اینستاگرام و واتساپ

وزیر پیشین ارتباطات در کانال تلگرامی خود نوشت صحبتهای انتقادی را در خصوص...

به مشتریان خارجی خود بگوئید ایتا و سروش نصب کنند!

با اعلام رسمی وزیر ارتباطات، به نظر می رسد پرونده فیلتر دائمی اینستاگرام و...

وزیر ارتباطات آب پاکی را روی دستان کسب و کارهای اینستاگرامی ریخت

عیسی زارع پور در جدیدترین مصاحبه خود آب پاکی را روی دست کسب و کارهایی که در...

چرا مردم ایران حضور در پیام رسان های داخلی را دوست ندارند؟

پیام‌رسان‌ها و پلتفرم‌های خارجی از جمله واتساپ و اینستاگرام در چند روز...