பேபால் உட்பட பல இணைய நிறுவனங்களால் பயன்படுத்தப்படும் டோக்கன் அடிப்படையிலான அங்கீகாரத்திற்கான திறந்த தரமாக OAuth செயல்படுகிறது. அதனால்தான், ஆன்லைன் கொடுப்பனவு சேவையில் ஒரு முக்கியமான குறைபாட்டைக் கண்டுபிடித்தது, பயனர்களிடமிருந்து OAuth டோக்கன்களைத் திருட ஹேக்கர்களை அனுமதித்திருக்கக்கூடும், பேபால் ஸ்க்ராம்பிளிங்கை ஒரு பேட்சை உருட்ட அனுப்பியுள்ளது.

பாதுகாப்பு ஆராய்ச்சியாளரும் அடோப் மென்பொருள் பொறியாளருமான அன்டோனியோ சான்சோ தனது சொந்த OAuth கிளையண்டை பரிசோதித்த பின்னர் குறைபாட்டைக் கண்டுபிடித்தார். பேபால் தவிர, பேஸ்புக் மற்றும் கூகிள் போன்ற பிற முக்கிய இணைய சேவைகளிலும் இதே பாதிப்பை சான்சோ கண்டறிந்தார்.

பயன்பாடுகளுக்கு சில அங்கீகார டோக்கன்களை வழங்குவதற்காக பேபால் redirect_uri அளவுருவை கையாளும் வழியில் சிக்கல் இருப்பதாக சான்சோ கூறுகிறார். 2015 ஆம் ஆண்டிலிருந்து redirect_uri அளவுருவை உறுதிப்படுத்த இந்த சேவை மேம்பட்ட வழிமாற்று காசோலைகளைப் பயன்படுத்துகிறது. இருப்பினும், செப்டம்பர் மாதத்தில் இந்த அமைப்பை விசாரிக்கத் தொடங்கியபோது சான்சோ இந்த காசோலைகளைத் தவிர்ப்பதைத் தடுக்கவில்லை.

பேபால் டெவலப்பர்கள் தங்கள் பயன்பாடுகளை சேவையுடன் பட்டியலிட டோக்கன் கோரிக்கைகளை உருவாக்கக்கூடிய டாஷ்போர்டைப் பயன்படுத்த அனுமதிக்கிறது. இதன் விளைவாக டோக்கன் கோரிக்கைகள் பேபால் அங்கீகார சேவையகத்திற்கு அனுப்பப்படும். இப்போது, ​​அங்கீகார செயல்பாட்டின் போது பேபால் ஒரு லோக்கல் ஹோஸ்டை செல்லுபடியாகும் redirect_uri அளவுருவாக எவ்வாறு அங்கீகரிக்கிறது என்பதில் சான்சோ ஒரு பிழையைக் கண்டறிந்தார். இந்த முறை OAuth ஐ தவறாக செயல்படுத்தியது என்றார்.

சரிபார்ப்பு முறையை கேமிங் செய்தல்

சான்சோ பின்னர் பேபாலின் சரிபார்ப்பு முறைக்குச் சென்றார், இல்லையெனில் ரகசியமான OAuth அங்கீகார டோக்கன்களை வெளிப்படுத்தியுள்ளார். தனது வலைத்தளத்திற்கு ஒரு குறிப்பிட்ட டொமைன் பெயர் அமைப்பு உள்ளீட்டைச் சேர்ப்பதன் மூலம் கணினியை ஏமாற்ற முடிந்தது, பேபாலின் சரியான பொருந்தக்கூடிய சரிபார்ப்பு செயல்முறையை மீறுவதற்கான லோக்கல் ஹோஸ்ட் ஒரு மாய வார்த்தையாக செயல்பட்டது என்பதைக் குறிப்பிட்டார்.

சான்சோவின் கூற்றுப்படி எந்தவொரு பேபால் OAuth கிளையண்டையும் பாதிப்பு ஏற்படுத்தக்கூடும். OAuth கிளையண்டை உருவாக்கும் போது ஒரு குறிப்பிட்ட திருப்பிவிடு_உரியை உருவாக்க பயனர்களுக்கு அவர் அறிவுறுத்தினார். சான்சோ ஒரு வலைப்பதிவு இடுகையில் எழுதினார்:

DO பதிவு https: // yourouauthclientcom / oauth / oauthprovider / callback. Https: // yourouauthclientcom / அல்லது https: // yourouauthclientcom / oauth.

சான்சோவின் கண்டுபிடிப்புகளை முதலில் பேபால் நம்பவில்லை, இருப்பினும் நிறுவனம் இறுதியில் தனது முடிவை மறுபரிசீலனை செய்து இப்போது குறைபாட்டை சரிசெய்தது.

இதையும் படியுங்கள்:

• 7 சிறந்த விண்டோஸ் 10 விலைப்பட்டியல் மென்பொருள் பயன்படுத்த
• விண்டோஸ் 10 மொபைலுக்கான வாலட் தொடர்பு இல்லாத மொபைல் கட்டணங்களை இன்சைடர்களுக்கு கொண்டு வருகிறது