اكتشاف ثغرة خطيرة في موقع paypal من قبل باحث أمني عربي

خاص بتكناوي.نت : قام الباحث الأمني المصري ابراهيم حجازي (لمتابعة مقابلة سابقة معه على موقع تكناوي.نت من هنا : http://technawi.net/?p=3895 ) بإكتشاف ثغرة خطيرة في موقع Paypal والتي تمكن المخترق من الحصول على بيانات الدخول الخاصة بالمستخدمين وبيانات بطاقات الدفع الإلكترونية الخاصة بهم وغيرها من الأمور الأخرى.
 
النطاق المصاب بهذه الثغرة (https://SecurePayments.Paypal.com) هو النطاق الذي يتم استخدامه من قبل المستخدمين وذلك للقيام بعمليات الدفع الآمن أثناء قيامهم بشراء أي سلعة عبر الإنترنت. حيث تطلب الصفحة السابقة من المستخدمين تعبئة بعض البيانات في نموذج الدفع تشمل رقم بطاقة الشراء و رقم CVV2 و تاريخ الصلاحية و غيرها من البيانات لإتمام عملية الدفع الإلكتروني لعملية الشراء التي يقومون بها. بعدها يقوم المستخدم بإرسال هذه لبيانات ليتم معالجتها و التأكد منها, حيث يتم ارسالها مشفرة ذلك أنها تستخدم بروتوكول https و بالتالي لا يمكن للمخترق أن يقوم بشن هجوم MiTM للتنصت على الطلبات.
 
الباحث الأمني إكتشف وجود ثغرة من نوع Stored XSS تصيب هذه الصفحة و التي تسمح للمخترق أن يقوم بالتعديل على شفرة html المصدرية الخاصة بها مما يتيح للمخترق أن يقوم بكتابة كود خاص به وذلك لارسال بيانات المستخدمين له بشكل نصي مقروء و غير مشفر وبعدها يمكنه استخدام هذه البيانات في أي عملية شراء أو تحويل اموال يرغب بها.
 
يذكر بأنه قد تم اكتشاف و التبليغ هذه الثغرة بتاريخ 19-6–2015 و تم بتاريخ 25-8-2015 اصلاحها و مكافأته عليها من قبل شركة paypal.
 
الفيديو التالي يبين ويثبت عملية استغلال هذه الثغرة من قبل الباحث الأمني المصري ابراهيم حجازي :
 
 
مصدر الخبر : http://www.sec-down.com/wordpress/?p=553
 
لمتابعة المزيد من الأخبار و المقالات و الفيديوهات التعليمية, تابعونا على صفحتنا على موقع فيسبوك عبر الرابط التالي : صفحة موقع تكناوي.نت

عن محمد خريشة

مهندس حاسوب من الأردن مهتم ومهووس بكل ماله علاقة بالتقنية على اختلاف اصنافها, عملت و مازلت اعمل كمطور لمواقع الويب بشكل فردي, عملت بمؤسسات اردنية كمهندس شبكات ومن ثم مهندس انظمة و حماية و الآن أعمل كمدير لقواعد بيانات اوراكل بالإضافة الى ادراة خوادم *nix , لدي خبرة بالتعامل و ادارة نظام تشغيل OpenVMS و نظام البريد الإلكتروني Exchange Server من شركة مايكروسوفت . من اهتماماتي اثراء المحتوى التقني العربي بكل ما هو جديد.

اضف رد

لن يتم نشر البريد الإلكتروني . الحقول المطلوبة مشار لها بـ *

*

2 × one =

This site uses Akismet to reduce spam. Learn how your comment data is processed.