Onderzoeker Michael Stepankin heeft een ernstige bug ontdekt in PayPal. Met deze kwetsbaarheid kon de onderzoeker systeemcommando’s op servers van Paypal uitvoeren.
De bewuste bug is Java Object Deserialization genaamd en treedt op als ontwikkelaars gebruikersinvoer deserialiseren zonder dat ze er een vorm van validatie aan toevoegen. Serialisatie houdt in dat objecten, met bijvoorbeeld gebruikersinformatie, omgezet worden naar een reeks bytes die gemakkelijk via het netwerk getransporteerd kan worden.
Deserialisatie
De ontvangende applicatie van deze reeks bytes kan deze deserialiseren, zodat het originele object weer te zien is. De bug treedt op wanneer een kwaadwillende de reeks bytes zelf kan opgeven of bewerken. Dit kan negatieve effecten hebben op de deserialisatiefuncties van de ontvangen applicatie; er kunnen dan onder meer systeemcommando’s worden uitgevoerd.
Python en PHP
Dit soort bugs komen niet alleen voor in Java. Ook in Python en PHP zijn dit soort kwetsbaarheden gesignaleerd. PayPal heeft de bewuste bug enige tijd geleden gerepareerd. De ontdekker van de bug, Michael Stepankin, ontving een beloning van $ 5.000 in het kader van het Bug bounty program.