1. HTML цвет текста

    ProMarket.ws - новый, активно развивающийся форум. Регистрируйтесь и Вас ждут приятные бонусы.
    У нас самая оперативная помощь новичкам!
    На форуме проводится постоянная раздача СС!

    Скрыть объявление
  2. HTML цвет текста

    Зеркало форума ProCrd в зоне Тор - http://wp3whcaptukkyx5i.onion/

    Стандартные зеркала форума - procrd.co procrd.me
    Скрыть объявление

Эксперт обнаружил простой способ обхода 2FA-механизма в PayPal

Тема в разделе "КРИМИНАЛЬНЫЕ НОВОСТИ", создана пользователем Masha, 25/10/16.

  1. Masha

    Masha Кидала

    Регистрация:
    2/10/16
    Сообщения:
    149
    Симпатии:
    236
    Репутация:
    303
    Метод предполагает перехват и модификацию HTTP-запросов сервера PayPal.

    Исследователь из Великобритании Генри Хоггард (Henry Hoggard) рассказал об очень простом способе обхода механизма двухфакторной аутентификации в PayPal, позволяющем в считанные минуты получить доступ к учетной записи в платежном сервисе.
    Хоггард обнаружил данный способ, находясь в гостиничном номере, где отсутствовал сотовый сигнал и, соответственно, возможность получить по SMS код верификации PayPal.

    По его словам, проблема заключается в опции «Попробуйте другой способ» (Try another way), расположенной под секцией двухфакторной аутентификации на странице авторизации. PayPal предлагает воспользоваться данной опцией в ситуации, когда пользователь не имеет телефон при себе или при отсутствии сигнала. В таких случаях для того, чтобы получить доступ к учетной записи, пользователь должен ответить на секретные вопросы.

    Как выяснил Хоггард, при наличии прокси-сервера, способного перехватывать запросы сервера PayPal, атакующий может модифицировать HTTP-запросы и получить доступ к аккаунту. Для этого требуется всего лишь удалить параметры "securityQuestion0" и "securityQuestion1" из HTTP-запроса.

    В начале октября нынешнего года исследователь проинформировал PayPal о проблеме. В настоящее время уязвимость уже устранена.
     
    PartyCluBBeR, Kravitz и Cboloch нравится это.
  2. PartyCluBBeR

    PartyCluBBeR

    Регистрация:
    4/8/16
    Сообщения:
    56
    Симпатии:
    43
    Репутация:
    62
    не совсем понятно - из http запроса от юзера к палке убрать надо было параметры? найду в инете и почитаю как-нибудь про это)

    получается, что юзер букально сам говорит в запросе к палке - дай мне секретки )
    --- Double Post Merged, 26/10/16 ---
    эти white-heat-ы достали уже - ни себе, ни другим