يعمل OAuth كمعيار مفتوح للمصادقة المستندة إلى الرمز الذي تستخدمه العديد من عمالقة الإنترنت ، بما في ذلك PayPal. وهذا هو السبب في أن اكتشاف خلل حرج في خدمة الدفع عبر الإنترنت والذي كان يمكن أن يسمح للمتسللين بسرقة رموز OAuth من المستخدمين قد أرسل PayPal للتخلي عن التصحيح.

اكتشف أنطونيو سانسو ، الباحث الأمني ​​ومهندس برمجيات Adobe ، الخلل بعد أن اختبر عميل OAuth الخاص به. بالإضافة إلى PayPal ، اكتشف Sanso أيضًا الثغرة نفسها في خدمات الإنترنت الرئيسية الأخرى مثل Facebook و Google.

يقول سانسو إن المشكلة تكمن في الطريقة التي يعالج بها PayPal المعلمة redirect_uri لإعطاء بعض الرموز المميزة للمصادقة للتطبيقات. تستخدم الخدمة فحوصات إعادة التوجيه المحسّنة لتأكيد المعلمة redirect_uri منذ عام 2015. ومع ذلك ، لم تمنع Sanso من تجاوز عمليات التحقق هذه عندما بدأ التحقيق في النظام في سبتمبر.

يتيح PayPal للمطورين استخدام لوحة معلومات يمكن أن تنتج طلبات رمزية من أجل إدراج تطبيقاتهم مع الخدمة. ثم يتم إرسال طلبات الرمز المميز الناتجة إلى خادم تخويل PayPal. الآن ، عثر Sanso على خطأ في كيفية التعرف على PayPal لمضيف محلي كمعلمة redirect_uri صالحة أثناء عملية المصادقة. وقال إن هذه الطريقة نفذت خطأ OAuth.

لعب نظام التحقق من الصحة

ثم تابع Sanso لعبة نظام التحقق من صحة PayPal واجعله يكشف عن رموز مصادقة OAuth السرية. لقد تمكن من خداع النظام عن طريق إضافة إدخال معين لنظام اسم النطاق إلى موقعه على الويب ، مشيرًا إلى أن المضيف المحلي كان بمثابة الكلمة السحرية لتجاوز عملية التحقق المطابقة تمامًا من PayPal.

يمكن أن تعرض الثغرة الأمنية للخطر أي عميل PayPal OAuth وفقًا لسانسو. ونصح المستخدمين بإنشاء redirect_uri محددة للغاية عند إنشاء عميل OAuth. كتب Sanso في منشور مدونة:

هل تسجل https: // yourouauthclientcom / oauth / oauthprovider / callback. ليس فقط https: // yourouauthclientcom / أو https: // yourouauthclientcom / oauth.

لم تصدق PayPal على نتائج Sanso في البداية ، على الرغم من أن الشركة أعادت النظر في قرارها وأصدرت الآن حلاً للعيوب.

اقرأ أيضا:

• 7 أفضل برنامج فاتورة ويندوز 10 للاستخدام
• تعمل ميزة Wallet for Windows 10 Mobile على توفير مدفوعات الهواتف المحمولة بدون تماس إلى المطلعين