下面的PayPal漏洞是设计/实现缺陷吗?
我试图理解后面的漏洞背后的逻辑,我相信这是一个设计缺陷,而不仅仅是一个实现。
在我看来,PayPal的双因素身份验证服务的问题是,服务器没有区分来自移动应用程序和web应用程序的身份验证请求。因此,当服务器根据移动应用程序请求禁用双因素身份验证时,它会禁用用户帐户,而不仅仅是用户移动应用程序。我的解释正确吗?
PayPal漏洞
Post: PayPal漏洞
现况:已出版
漏洞描述:最近有报道称,Paypal可以绕过双因素身份验证安全措施。该漏洞或缺陷与PayPals身份验证流与用于iOS和Android的服务移动应用程序的工作方式有关。PayPal使用户能够以多种方式使用双因素身份验证,每种方式都会为登录创建一个一次性密码。官方PayPal网站上有两种形式可供使用,但PayPal移动应用程序不支持。下面是它的工作原理:当PayPal服务器响应从移动应用程序发出的一个双因素启用帐户的POST请求时。应用程序将显示一条错误消息,告知用户启用并不支持双因素,最初将用户发送回登录。但是,当服务器响应中有关双因素身份验证的值更改为“false”时,应用程序将简单地允许用户进入帐户,从而绕过所有形式的双因素保护。
回答 1
Security用户
发布于 2014-10-11 07:42:18
该漏洞存在于应用程序强制执行第二因素验证客户端这一事实。
也就是说,服务本身永远不需要双因素身份验证。但是,如果请求,它愿意处理双因素身份验证,如果客户端应用程序了解到该帐户启用了双因素,则应用程序将尝试验证。
但是,如果客户端没有发现(或者修改为不关心),那么它就不会请求验证。后端服务也不会抱怨。
该漏洞可以归纳为:“不强制执行双因素身份验证。”这是一个设计缺陷还是实现缺陷,取决于它们是有意让它变成这样,还是它是一个意外。不管怎么说他们都没说。
请注意,约书亚·罗杰斯早在8月份就发现了这个漏洞。您提供的属性是不正确的。http://blog.internot.info/2014/08/paypal-complete-2-factor.html
https://security.stackexchange.com/questions/69432
复制相似问题
腾讯云开发者
