OAuth بہت سے انٹرنیٹ کمپنیاں ، جن میں پے پال شامل ہے ، کے ذریعہ ملازمت کی گئی ٹوکن پر مبنی توثیق کے لئے کھلا معیار ہے۔ یہی وجہ ہے کہ آن لائن ادائیگی کی خدمت میں ایک اہم خامی کی دریافت جس کی وجہ سے ہیکرز کو صارفین سے OAuth ٹوکن چوری کرنے کی اجازت مل سکتی تھی ، نے پے پال کو ایک پیچ کو گھمانے کے ل sent بھیج دیا۔

ایک سیکیورٹی محقق اور ایڈوب سافٹ ویئر انجینئر ، انٹونیو سانسو کو اپنے OAuth مؤکل کا تجربہ کرنے کے بعد اس نقص کا پتہ چلا۔ پے پال کے علاوہ ، سانسو کو دوسری بڑی انٹرنیٹ سروسز جیسے فیس بک اور گوگل میں بھی اسی خطرے کا پتہ چلا۔

سانسو کا کہنا ہے کہ اس طرح کا مسئلہ پے پال نے ری ڈائریکٹ_وری پیرامیٹر کو سنبھالنے کے ساتھ ہی درخواستوں کو کچھ توثیق کرنے والے ٹوکن دینے کے لئے ہے۔ سروس 2015 سے ری ڈائریکٹ_وری پیرامیٹر کی تصدیق کے لced بڑھا ہوا ری ڈائریکٹ چیک استعمال کررہی ہے۔ پھر بھی ، جب اس نے ستمبر میں سسٹم کی تحقیقات شروع کی تو سانسو کو ان چیکوں کو نظرانداز کرنے سے نہیں روکا۔

پے پال ڈویلپرز کو ڈیش بورڈ استعمال کرنے دیتا ہے جو اپنے ایپس کو خدمت کے ساتھ اندراج کرنے کیلئے ٹوکن کی درخواستیں تیار کرسکتی ہے۔ اس کے نتیجے میں ٹوکن کی درخواستیں پے پال کے اجازت نامے کے سرور کو بھیج دی گئیں۔ اب ، سانسو کو اس میں ایک خامی ملی کہ پے پال نے توثیق کے عمل کے دوران لوکل ہاسٹ کو ایک درست redirect_uri پیرامیٹر کے طور پر پہچان لیا۔ انہوں نے کہا کہ اس طریقے نے OAuth کو غلط طریقے سے نافذ کیا۔

توثیق کے نظام کو گیمنگ کرنا

اس کے بعد سانسو گیم پے پال کے توثیق کے نظام پر چلا گیا اور اس میں OAuth کے توثیق والے ٹوکن کو ظاہر کردیا۔ انہوں نے اپنی ویب سائٹ میں ڈومین کے نام کے مخصوص نظام میں داخلے کو شامل کرکے سسٹم کو چالاک کرنے کا انتظام کیا ، یہ نوٹ کرتے ہوئے کہ لوکل ہوسٹ نے پے پال کی مطابقت پذیری کے درست عمل کو ختم کرنے کے جادوئی الفاظ کے طور پر کام کیا۔

سانسو کے مطابق خطرے سے کسی بھی پے پال OAuth مؤکل سے سمجھوتہ ہوسکتا ہے۔ انہوں نے صارفین کو مشورہ دیا کہ اوہاتھ کلائنٹ بناتے وقت ایک بہت ہی مخصوص ری ڈائریکٹر_وری بنائیں۔ سانسو نے ایک بلاگ پوسٹ میں لکھا:

ڈو رجسٹر کریں https: // yourouauthclientcom / oauth / oauthprovider / callback. NOT JUST https: // yourouauthclientcom / یا https: // yourouauthclientcom / oauth۔

پے پال نے پہلے تو سانسو کی تلاشوں پر یقین نہیں کیا ، اگرچہ آخر کار کمپنی نے اپنے فیصلے پر دوبارہ غور کیا اور اب اس خامی کو دور کرنے کا اعلامیہ جاری کردیا۔

یہ بھی پڑھیں:

• استعمال کرنے کے لئے 7 بہترین ونڈوز 10 انوائس سافٹ ویئر
• ونڈوز 10 موبائل کا والیٹ اندرونی افراد کے ل contact بغیر رابطے کی موبائل ادائیگی لاتا ہے