PayPal是Web Apps中Java Deserialization错误的最新受害者 eBay卖家需要更好的宽带和移动 Mingis关于Tech:Mac Guy Gaga在戴尔; iPhone的无线充电 关于患者数据共享的同意和选择退出的指导延迟 模块化手机套件可用于IOT和可穿戴物 电子商务在东盟国家的增长挣扎 蓝宝石16:SAP的McDermott强调客户的同情,因为微软宣布了Microsoft Pact HPE服务器获取新名称以帮助用户弄清楚它们可以使用的内容 提升远程医疗限制将保存Medicare $ 1.8b超过10年 IBM计划对大数据和企业的成本削减成本的“认知存储” 这个别克Avista概念是有史以来最甜蜜的设计之一 比利时网络安全将在恐怖袭击后获得突出 现在AI掌握了'Go,'接下来都是我们的工作吗? 数字领导者奖项为公用投票开放 Sainsbury在曼彻斯特创造了150个数字工作,以提高创新 英特尔支持的协作癌云扩展到包括另外两个大学 机器学习是修复错误代码的冠军 为什么Windows 10用户应该关心阿塞拜疆的MANAT 失败的IT工人的最后一座展位的照片 更好的设计和更低的价格将使可穿戴物更有吸引力 WhatsApp获得1000,000,000名Whippersnappers(和我的草坪) 超过一半的青少年认为学校课程为数字设置了它们 Lloyds通过视频提供抵押贷款咨询 PAC对主要项目权威缺乏影响感到失望 火灾,冲击危险提示微软回忆起表面专业平板电脑的交流电源适配器 CloudFlare推出安全域名管理服务 俄罗斯人网集团使用简单但有效的Linux木马 Apple的GPU供应商Ditches Ceo,寻求新的策略 报告名称船体是宽带最慢的城市 GE为工业互联网推出Predix-Power应用程序 阅读大学在马来西亚校园部署IPv6 Marvell,Carnegie Mellon通过硬盘芯片解决专利纠纷 IBM向下次数与四个新的云工具一起使用 FBI iPhone恐怖战斗:Apple Pr覆盖真相 虽然Q1结果强,但仍然削减劳动力 扎克伯格扮演VR的情感方面 英国工人在家里有关网络安全更加勤奋 与货币相关的价格远足可以提高非美国服务器销售 第一眼:爱普生的最新智能眼镜将OLED显示屏装入轻型包装中 “H2O.AI酋长称,AI'再次释放我们成为人类 哪些IT服务供应商是欧洲企业最满意的? 盒子使企业更容易控制加密云数据 ee,高通公司将自由式无人机赛车带到温布利体育场 济南中医风湿病医院多学科专家针对风湿患者“治痛防残、久治不愈”难题进行精准诊疗 IBM说,澳大利亚卫生部门对网络罪犯的轻松目标 欧洲议会设定批准欧盟数据保护法 AWS Q1结果:云巨头如何计划在市场上保留其 Facebook只有60天更改法国用户的条款和条件 Zappa为Python Web Apps提供服务,减去服务器 聪明播放:阿联酋和华为如何创造未来的城市
您的位置:首页 >计算机基础 >

PayPal是Web Apps中Java Deserialization错误的最新受害者

PayPal在其后端管理系统中修复了一个严重的漏洞,该系统可能允许攻击者在服务器上执行任意命令并可能安装后门。

该漏洞是一类来自Java对象反序列化的错误的一部分,以及一年前警告的安全研究人员。

在编程语言中,序列化是将数据转换为用于存储它或将其发送到网络的二进制格式的过程。反序列化是该过程的反面。

反序列化本身并不是一个问题,但与大多数过程涉及处理可能不受信任的输入,需要采取措施来确保安全地执行。例如,攻击者可以制作一个序列化对象,该对象包括应用程序接受的Java类,并且可以滥用恶意的东西。

安全研究人员Chris Frohoff和Gabriel Lawrence在一年前的安全会议上发表了这种类型的攻击。然后,在11月,来自一家名为FoxGlove Security的公司的研究人员发布了一个概念验证,用于一个名为Apache Commons集合的流行库中的反级化漏洞,该库在许多Java应用程序服务器上默认包含的默认情况下包括。

安全研究人员警告了数千个基于Java的Web应用程序,包括定制的企业,可能很容易受到这种攻击的影响,并表示好和坏的黑客可能会开始探究它。

Michael Strepankin,发现最近在Manager.Paypal.com网站上发现最近的漏洞的Bug Bounty Hunter是一个这样的黑客。他受到Frohoff,Lawrence和Foxglove研究人员的研究的启发,甚至使用了他们制作的一个工具来构建他的攻击有效载荷。

在确定PayPal站点容易受到Java Deserialization的影响之后,StepAskin能够利用漏洞,以便在其底层Web服务器上执行任意命令。

“此外,我可以与我自己的互联网服务器建立背面连接,例如,上传和执行后门,”他在博客文章中说。“在结果中,我可以访问Manager.Paypal.com应用程序使用的生产数据库。”

在他向PayPal报告这个问题后,它得到了修复,即使他的报告被标记为重复,该公司也通过其Bug Bounty计划给了他奖励。事实证明,另一个安全研究人员早些时候报告了同样的问题,证明了人们目前正在扫描这种类型的脆弱性。

开发人员应该确保他们更新其Java服务器和应用程序使用的Apache Commons集合库,以至少版本为3.2.2或4.1,该版本为此问题。但是,在其他库中也存在这种类型的脆弱性,也是等待被发现的。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。