ओपहट टोकन चुराने से हैकर्स को रोकने के लिए पेपैल गंभीर पैच जारी करता है

विषयसूची:

सत्यापन प्रणाली गेमिंग

वीडियो: à¤ªà¥ƒà¤¥à¥?à¤µà¥€ à¤ªà¤° à¤¸à¥?à¤¥à¤¿à¤¤ à¤à¤¯à¤¾à¤¨à¤• à¤¨à¤°à¤• à¤®à¤‚à¤¦à¤¿à¤° | Amazing H 2024

OAuth, पेपाल सहित कई इंटरनेट दिग्गजों द्वारा नियोजित टोकन-आधारित प्रमाणीकरण के लिए एक खुले मानक के रूप में कार्य करता है। यही कारण है कि ऑनलाइन भुगतान सेवा में एक महत्वपूर्ण दोष की खोज जो हैकर्स को उपयोगकर्ताओं से OAuth टोकन चोरी करने की अनुमति दे सकती थी, ने पैच को रोल आउट करने के लिए पेपाल स्क्रैचिंग को भेजा है।

एंटोनियो सेंसो, एक सुरक्षा शोधकर्ता और एडोब सॉफ्टवेयर इंजीनियर, ने अपने स्वयं के OAuth ग्राहक का परीक्षण करने के बाद दोष का पता लगाया। पेपाल के अलावा, Sanso ने फेसबुक और Google जैसी अन्य प्रमुख इंटरनेट सेवाओं में समान भेद्यता का पता लगाया।

सेंसो का कहना है कि समस्या उस तरह से है जैसे पेपल अनुप्रयोगों को कुछ प्रमाणीकरण टोकन देने के लिए पुनर्निर्देशित करता है। सेवा 2015 के बाद से रीडायरेक्ट_यूरी पैरामीटर की पुष्टि करने के लिए उन्नत रीडायरेक्ट चेक का उपयोग कर रही है। फिर भी, उसने सितंबर में सिस्टम की जांच शुरू करते समय इन चेक को दरकिनार करने से सान्सो को नहीं रोका।

पेपाल डेवलपर्स को एक डैशबोर्ड का उपयोग करने देता है जो सेवा के साथ अपने ऐप को सूचीबद्ध करने के लिए टोकन अनुरोधों का उत्पादन कर सकता है। परिणामस्वरूप टोकन अनुरोधों को एक पेपैल प्राधिकरण सर्वर पर भेजा जाता है। अब, Sanso को एक त्रुटि मिली कि कैसे पेपल प्रमाणीकरण प्रक्रिया के दौरान एक स्थानीयहोस्ट को मान्य पुनर्निर्देशन_पूरी पैरामीटर के रूप में पहचानता है। उन्होंने कहा कि इस पद्धति ने गलत तरीके से OAuth को लागू किया।

सत्यापन प्रणाली गेमिंग

Sanso तब पेपल के सत्यापन प्रणाली के खेल पर गया और उसने अन्यथा गोपनीय OAuth प्रमाणीकरण टोकन प्रकट किया। उन्होंने अपनी वेबसाइट में एक निश्चित डोमेन नाम सिस्टम प्रविष्टि जोड़कर सिस्टम को धोखा देने में कामयाब रहे, यह देखते हुए कि लोकलहोस्ट ने पेपाल की सटीक मिलान सत्यापन प्रक्रिया को ओवरराइड करने के लिए जादू शब्द के रूप में कार्य किया।

भेद्यता Sanso के अनुसार किसी भी PayPal OAuth ग्राहक से समझौता कर सकती थी। उन्होंने OAuth क्लाइंट बनाते समय उपयोगकर्ताओं को एक बहुत ही विशिष्ट रीडायरेक्ट_यूरी बनाने की सलाह दी। Sanso ने एक ब्लॉग पोस्ट में लिखा है:

DO रजिस्टर करें https: // yourouauthclientcom / oauth / oauthprovider / callback। NOT JUST https: // yourouauthclientcom / or https: // yourouauthclientcom / oauth।

पेपाल ने सेंसो के निष्कर्षों पर पहले विश्वास नहीं किया, हालांकि कंपनी ने अंततः अपने फैसले पर पुनर्विचार किया और अब दोष को ठीक कर दिया।

यह भी पढ़ें:

उपयोग करने के लिए 7 सर्वश्रेष्ठ विंडोज 10 चालान सॉफ्टवेयर
विंडोज 10 मोबाइल के लिए वॉलेट अंदरूनी लोगों के लिए संपर्क रहित मोबाइल भुगतान लाता है

फ़्लैश प्लेयर अपडेट kb4018483 सभी विंडोज़ संस्करणों को प्रभावित करने वाले गंभीर सुरक्षा मुद्दों को पैच करता है

Microsoft ने हाल ही में विंडोज 8.1 और सभी विंडोज 10 संस्करणों के लिए एक महत्वपूर्ण फ़्लैश प्लेयर अपडेट किया है। फ्लैश प्लेयर अपडेट KB4018483 गंभीर सुरक्षा कमजोरियों की एक श्रृंखला को पैच करता है जो प्रभावित उपकरणों पर दूरस्थ कोड निष्पादन की अनुमति दे सकता है। दूसरे शब्दों में, आपको जल्द से जल्द KB4018483 डाउनलोड करना चाहिए। हाल ही में पैच भेद्यता संभावित हमलावरों को लेने की अनुमति दे सकती है ...

पेपैल एक विंडोज़ 10 मोबाइल ऐप को जारी नहीं करने का फैसला करता है, इसे गलती से घोषित करता है

पेपैल निश्चित रूप से विंडोज 10 मोबाइल पर सबसे अधिक उपयोग किए जाने वाले ऐप में से एक होगा, लेकिन दुर्भाग्य से, यह माइक्रोसॉफ्ट के प्लेटफॉर्म पर नहीं आएगा। कंपनी ने विंडोज फोन के लिए अपना पुराना ऐप भी बंद कर दिया है, इसलिए विंडोज 10 मोबाइल उपयोगकर्ता अब केवल अपनी आधिकारिक वेबसाइट से भुगतान सेवा तक पहुंच सकते हैं। विंडोज फोन ऐप को बंद करने पर, पेपाल…

अगले साल विंडोज़ और विंडोज़ फोन के लिए यहां क्रेडिट कार्ड ऐप जारी करने के लिए पेपैल

पेपैल के पास अभी भी विंडोज उपभोक्ताओं के लिए एक आधिकारिक ऐप नहीं है जिसे वे स्टोर से डाउनलोड कर सकते हैं। और, जैसा कि हम पिछली कहानी में कह रहे थे, ऐसा लगता है कि कोई भी जल्द ही दिखाई नहीं देगा। लेकिन संभावना है कि पेपाल एक अधिक व्यवसाय-उन्मुख दृष्टिकोण के लिए लक्ष्य कर रहा है। विंडोज सेंट्रल प्रकाशन पेपल हियर…