来自 DDOS 2021-10-12 02:04 的文章

高防cdn_美国高防ip_指南

高防cdn_美国高防ip_指南

近年来,PayPal以其便利的特性,如何设置防御cc,增强了用户隐私,彻底改变了电子商务市场。网上购物需要繁琐的银行转账或复杂的信用卡验证的日子已经一去不复返了。不幸的是,埃及研究人员亚西尔·阿里(Yasser Ali)的贝宝漏洞发现震惊了全世界,在安全方面仍有工作要做。这个令人担忧的发现是在一个贝宝窃听器悬赏计划中发现的阿里先生暴露了PayPal无法处理相当简单的跨站点请求伪造(CSRF)漏洞。他最终因为找到了这个关键的漏洞而得到了1万美元的奖励。CSRF攻击是OWASP十强中的常客,在黑客圈子里迅速流行起来。从2013年第一季度发布的csa-ctal目录攻击和csa-ectal的交叉攻击几乎翻了一番。什么是CSRF攻击?CSRF攻击利用应用程序无法对用户访问进行身份验证。受害者首先登录到CSRF易受攻击的web应用程序,该应用程序启动会话并创建一个反CSRF令牌。然后他可以自由地与服务器交互并执行数据修改任务。这是恶意攻击者进入图片的地方。恶意攻击者使用社会工程技术使受害者单击包含目标web应用程序合法命令的恶意URL。一旦恶意URL被点击,高防cdn代理,web应用程序就会假设这些命令来自受害者并执行它们。黑客就可以自由地执行恶意攻击。潜在的CSRF风险包括:模仿和身份认同。使用受害者的凭据和权限修改应用程序数据。在未经受害人同意或事先知情的情况下代表受害人发布内容。对应用程序的所有用户发起有组织的攻击。利用易受攻击的DSL路由器。Yasser Ali是如何定位PayPal漏洞的?喜欢测试应用程序健壮性的埃及安全专家Yasser Ali接受了PayPal悬赏计划的挑战。他通过尝试进行虚假的资金转移来玩弄web应用程序,很快发现了上述PayPal漏洞,如果被恶意攻击者发现,可能会导致灾难。亚西尔·阿里提出的两个具体问题是:1–主要问题是反CSRF身份验证令牌。只要输入任何带有错误密码的活动电子邮件ID,他就可以截获有效的反CSRF身份验证令牌。如下面的POC所示,Ali需要做的就是在登录之前捕获发送回PayPal的POST请求。2–这个PayPal漏洞导致了另一个与平台注册用户的安全问题相关的发现。原来,国外cc防御,阿里可以轻松重置任何用户的安全问题,这些问题没有密码保护。他设法借助运行在其专用服务器上的恶意Python脚本来修改用户的答案。Yasser Ali的PayPal Bug POC。Yasser Ali在一次独家问答中告诉Checkmarx,这些CSRF漏洞应该得到认真对待,因为一旦这些漏洞暴露出来,恶意攻击者会立即对其进行攻击。例如,仅仅是一个虚假的eBay交易就可以吸引成千上万的用户,他们基本上都是直接将他们的PayPal信息提交给黑客。PayPal立即承认了阿里的发现,向他支付了承诺的现金奖励,并几乎立即解决了问题,向其客户保证在发现之前没有账户被泄露。如何应对CSRF攻击?源代码分析(SCA)有何帮助?CSRF攻击通常通过使用前面提到的反CSRF令牌进行打击,用户一旦合法登录到应用程序,就可以获得这些令牌。此令牌由服务器在所有后续请求中传递和验证。这些反CSRF令牌可以在每个会话或每个请求中提供给用户,第二个是更安全的选项。另一种用于对抗CSRF攻击的常用技术是会话自动计时。这样,恶意攻击者就可以在有限的时间内操纵受损的帐户。SCA帮助开发人员实现反CSRF令牌技术。在执行扫描之后,开发人员/审核员会被警告代码结构中的关键连接点,这是他们最终插入反CSRF解决方案的地方。这种SCA测试会产生健壮的应用程序,这些应用程序很难用CSRF技术破解。"从安全角度来看,静态代码审查是强制性的。当被问及将源代码分析解决方案集成到开发过程中并尽早发现漏洞的重要性时,阿里评论道:"如果公司使用源代码分析(SCA),可以缓解很多问题。2002年被eBay收购的贝宝,仅2013年一年就负责了1800多亿美元的交易。尽管PayPal计划在2015年将其从eBay中分离出来,但预计在未来的许多年里,cc攻击的原理和防御方式,cc防御waf,PayPal仍将是电子商务领域的顶级收购商。因此,它必须确保全球数百万客户的安全。PayPal实施的赏金计划是朝着正确方向迈出的一步,但仅仅依靠道德黑客是不够的。应用程序必须从根(源代码)进行保护。免费SCA试用版-单击此处。CSRFDirectory traversalowaspapypappostseprefectasql注入yasser Ali生物最新帖子莎朗·所罗门莎朗·所罗门的最新帖子物联网(IoT)-破解我的军队-2016年3月14日静态代码分析工具-AppSec检查表-2016年3月3日你想知道的关于HTML5安全的所有信息-2016年2月15日