Sto cercando di capire la logica dietro la vulnerabilità, credo che questo sia un difetto di progettazione non solo un'implementazione.
Per me il problema con il servizio di autenticazione a due fattori su PayPal è che il server non distingue tra le richieste di autenticazione provenienti dall'app mobile e dall'app web. Per questo motivo, quando il server disabilita l'autenticazione a due fattori in base alla richiesta dell'app mobile, viene disabilitata per l'account utente e non solo per l'app mobile dell'utente. La mia interpretazione è corretta?
Vulnerabilità di PayPal
Posta: vulnerabilità PayPal
Stato: pubblicato
Descrizione della vulnerabilità: Recentemente ha riferito che le misure di sicurezza dell'autenticazione a due fattori di Paypal possono essere aggirate. La vulnerabilità o difetto riguarda il modo in cui il flusso di autenticazione PayPals funziona con le app mobili di servizi per iOS e Android. PayPal offre agli utenti la possibilità di utilizzare l'autenticazione a due fattori in vari modi, ognuno dei quali crea un passcode monouso per l'accesso. I moduli a due fattori sono disponibili per essere utilizzati sul sito web ufficiale di PayPal, ma non sono supportati dalle app mobili PayPal. Ecco come ha funzionato: Quando i server PayPal hanno risposto a una richiesta POST inviata dall'app mobile per un account abilitato a due fattori. L'applicazione mostrava un messaggio di errore che indicava che l'utente a due fattori era abilitato e non supportato, inviando inizialmente l'utente al login. Ma quando il valore nella risposta del server rispetto all'autenticazione a due fattori viene modificato in "falso", l'applicazione consente semplicemente all'utente di accedere all'account, ignorando tutte le forme di protezione a due fattori.