PayPal曝远程代码执行漏洞(含视频)

日前知名在线支付公司PayPal被曝存在严重的远程代码执行漏洞,攻击者可以利用该漏洞在PayPal的web应用服务器上执行恶意命令,最终获得服务器控制权限。

漏洞描述

这个远程代码执行漏洞由独立安全研究员Milan A Solanki发现,被Vulnerability Lab评为严重,通用漏洞评分系统(CVSS)分数达到了9.3,漏洞影响了PayPal的在线营销web应用服务器。

该漏洞存在于服务器中的Java调试线协议(Java Debug Wire Protocol, JDWP),攻击者可以在未授权的情况下执行系统命令,从而获得目标服务器的控制权。

JDWP是用于调试器和被调试的 Java 虚拟机之间通信的一种协议。它是Java平台调试体系结构(Java Platform Debugger Architecture, JPDA)的第一层。

由于JDWP并不需要任何授权,这就会被黑客们利用,在Web服务器上远程执行恶意代码。

请点击最下方的“阅读原文”观看演示视频

安全研究人员提供了漏洞概念验证(POC)视频,他先使用Github上的jdwp-shellifier工具扫描网站,然后找到了开放8000端口的服务器。8000端口让他能够在未经授权的情况下连接PayPal服务,然后以Root权限在服务器端执行代码。

目前PayPal已修复了该漏洞。

*参考来源THN,译/Sphinx,文章有修改,转载请注明来自Freebuf黑客与极客(FreeBuf.COM)

阅读原文

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2015-04-29

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏乐百川的学习频道

使用 you-get 下载视频

安装you-get 最近刚刚看完了Python的官方教程,准备研究一下Python的第三方库。想起来以前看到过一个很不错的视频下载工具you-get,今天正好来...

86550
来自专栏一名叫大蕉的程序员

企业神奇中间件-RPC No.96

13120
来自专栏Java职业技术分享

Spring 中的注解与分层思想

@Controller, @Service, @Component, @Repository

15200
来自专栏不止思考

数据库的这些性能优化,你做了吗?

我们可能会采取各种方式去优化,比如之前文章提到的缓存方案,SQL优化等等,除了这些方式以外,这里再分享几个针对数据库优化的常规手段:「数据读写分离」与「数据库S...

12120
来自专栏Golang语言社区

系统架构-基础篇-(高性能基础建设说明与选型条件)

本文牵扯的面积可能会比较泛,或者说比较大,在这个层面很多人也有自己的见解,所以我这也仅仅是抛砖引玉,结合前面讲述的一些基础技术,从思想中阐述更为深入的架构思想基...

37150
来自专栏栗霖积跬步之旅

关于postman、postman interceptor的安装、配置问题

由于app中有一些鉴权问题,需要携带浏览器的cookie。 不然的话不能够正确测试接口,就在chrome(这里下载的来源是Google商店)中添加了postma...

63740
来自专栏JAVA高级架构

浅谈 MySQL 集群高可用架构

新年快乐 前言 高可用架构对于互联网服务基本是标配,无论是应用服务还是数据库服务都需要做到高可用。对于一个系统而言,可能包含很多模块,比如前端应用,缓存,数据库...

391150
来自专栏程序员同行者

jenkins 集成钉钉机器人通知

公司使用钉钉做为公司内部的通讯工具,所以想通过Jenkins发布完成以后通过钉钉来通知大家,研究发现钉钉提供机器人,所以我把机器人集成进来通知相关人员。

36520
来自专栏Albert陈凯

2018-11-20 CG Pipeline: 最佳图数据库性能对比--为您的CG生产数据服务

https://www.google.com.ph/search?q=%E5%9B%BE%E6%95%B0%E6%8D%AE%E5%BA%93%E6%AF%94...

19920
来自专栏bboysoul

种子下载工具cloud-torrent搭建和使用

最近在下几个种子,原本是放在电脑上下载的,但是你知道的,我的电脑不可能24小时在线的,而且作为一个有强迫症的人,你能忍受你玩电脑的时候后台总有一个下载工具在运行...

85430

扫码关注云+社区

领取腾讯云代金券