Onderzoeker vindt ernstige kwetsbaarheid in PayPal
Onderzoeker Michael Stepankin laat in een blog posting weten een ernstige kwetsbaarheid gevonden te hebben in PayPal. Met behulp van de kwetsbaarheid was Stepankin in staat om systeemcommando's uit te voeren op de servers van Paypal.
Het gaat om een zogeheten "Java Object Deserialization" kwetsbaarheid. Dit type kwetsbaarheid ontstaat wanneer ontwikkelaars, zonder enige vorm van validatie, gebruikersinvoer deserialiseren.
Serialisatie
Serialisatie omvat het omzetten van objecten (bijvoorbeeld een object waarin de informatie van een gebruiker wordt opgeslagen) naar een stroom van bytes die makkelijk over het netwerk verstuurd kunnen worden. De applicatie die de stroom van bytes ontvangt kan deze deserialiseren om weer het originele object te verkrijgen.
De kwetsbaarheid ontstaat wanneer een aanvaller deze stroom van bytes zelf kan opgeven of kan aanpassen. Hierdoor kunnen de deseralisatie functies van de ontvangen applicatie beïnvloed worden en bijvoorbeeld systeem commando's uitvoeren of ander ongewenst gedrag vertonen.
Dit soort kwetsbaarheden komen niet alleen voor in Java, maar bijvoorbeeld ook in Python en PHP.
Bonus
PayPal heeft de kwetsbaarheid inmiddels verhopen en een Bug Bounty van $ 5000 uitgekeerd aan Michael Stepankin.Zeggen dat deze kwetsbaarheid in Java, PHP en Python voorkomt is zoiets als zeggen dat SQL injection in SQL Server, MySQL en PostgreSQL voorkomt. Bij SQL injection zijn we toch gewend om dat niet als een fout in het DBMS te zien maar als een fout in de applicatie die het gebruikt. Laten we dat bij deserialiseren van niet-gevalideerde objecten ook doen. De fout komt dus niet voor in de programmeertaal maar in de applicatie.
Dit is een webapplicatie die een geserialiseerd object in HTML-formulieren liet meeliften met de naam "oldFormData". Dat suggereert dat het de inhoud van eerder ingevulde formuliervelden bevat. Dan kan je net zo goed JSON, YAML, XML of zo als serialisatieformaat kiezen, dat reduceert de mogelijkheden van een malafide gebruiker al aanzienlijk. Maar ook dan moet de ontwikkelaar nagaan of er geen misbruik van gemaakt kan worden, een webwinkel doet zichzelf bijvoorbeeld geen plezier als de klant zelf de prijs van een artikel kan verlagen in een bestelling door fouten hiermee. Als ervoor gekozen wordt sessiedata niet op de server bij te houden maar dat uit te besteden aan de client dan moet die data bij elke interactie gevalideerd worden.
In de vergelijking PHP - Python - Java steekt Java er met kop en schouders bovenuit. Ook in een vergelijking met andere server side programmeertalen zoals bv. (ASP.NET's) C# of Ruby komt het er goed uit.
Een Linux kernel ga je niet in Java schrijven. Embedded toepassingen zijn er weer wel.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
