Последние новости IT- технологий

Заработай на блоге, просто! Регистрация

воскресенье, 18 мая 2008 г.

Найдена уязвимость в платежной системе PayPal, связанная с EV SSL.

Гарри Синтонен обнаружил кросс-скриптинговую уязвимость в платежной системе PayPal. Как говорит Гарри Синтонен уязвимость, которую он обнаружил, позволяет злоумышленникам проводить "весьма вероятные нападения" за счет добавления на сайт хакерского контента, а так же воровать сведения которые оставляют пользователи системы PayPal.

Уязвимость затрагивает системы сертификатов безопасности EV SSL, которая недавно была реализована в системе PayPal. Данная система убеждает пользователей, что контент, который они просматривают и оставляют в системе PayPal является подлинным и защищенным. Схожая уязвимость была обнаружена в системе PayPal ровно два года назад, только тогда она касалась простых сертификатов SSL, сообщают исследователи компании Netcraft.

В компании Netcraft говорят, что нынешняя уязвимость является критической, так как не гарантирует ни какой безопасности при посещении системы PayPal. Гарри Синтонен сообшил о своей находке на одном из IRC-каналов в группе обсуждения IT- специалистов по веб-приложениям.

Как говорят в компании Netcraft:

"В то время как SSL-сертификаты обеспечивают более высокий уровень безопасности при работе с сайтом, они совершенно не гарантируют отсутствие программных ошибок на нем, в том числе и от кросс-скриптинговых уязвимостей".

Стороны пока не сообщают точных данных об уязвимости системы, но некоторую информацию все-таки дают. Ошибка которая провоцирует уязвимость кроется в программной начинке, которая не имеет ни какого отношения к системе сертификатов, но тем ни менее полагается на нее.

Гарри Синтонен говорит:

"Пользователь заходит на сайт, проходит в защищенную зону, браузер, при этом, подсвечивает строку адреса зеленым цветом, говорящим о безопасности. Однако даже это не гарантирует сохранности информации".

Комментариев нет: