PayPal是Web Apps中Java Deserialization错误的最新受害者

PayPal在其后端管理系统中修复了一个严重的漏洞，该系统可能允许攻击者在服务器上执行任意命令并可能安装后门。

该漏洞是一类来自Java对象反序列化的错误的一部分，以及一年前警告的安全研究人员。

在编程语言中，序列化是将数据转换为用于存储它或将其发送到网络的二进制格式的过程。反序列化是该过程的反面。

反序列化本身并不是一个问题，但与大多数过程涉及处理可能不受信任的输入，需要采取措施来确保安全地执行。例如，攻击者可以制作一个序列化对象，该对象包括应用程序接受的Java类，并且可以滥用恶意的东西。

安全研究人员Chris Frohoff和Gabriel Lawrence在一年前的安全会议上发表了这种类型的攻击。然后，在11月，来自一家名为FoxGlove Security的公司的研究人员发布了一个概念验证，用于一个名为Apache Commons集合的流行库中的反级化漏洞，该库在许多Java应用程序服务器上默认包含的默认情况下包括。

安全研究人员警告了数千个基于Java的Web应用程序，包括定制的企业，可能很容易受到这种攻击的影响，并表示好和坏的黑客可能会开始探究它。

Michael Strepankin，发现最近在Manager.Paypal.com网站上发现最近的漏洞的Bug Bounty Hunter是一个这样的黑客。他受到Frohoff，Lawrence和Foxglove研究人员的研究的启发，甚至使用了他们制作的一个工具来构建他的攻击有效载荷。

在确定PayPal站点容易受到Java Deserialization的影响之后，StepAskin能够利用漏洞，以便在其底层Web服务器上执行任意命令。

“此外，我可以与我自己的互联网服务器建立背面连接，例如，上传和执行后门，”他在博客文章中说。“在结果中，我可以访问Manager.Paypal.com应用程序使用的生产数据库。”

在他向PayPal报告这个问题后，它得到了修复，即使他的报告被标记为重复，该公司也通过其Bug Bounty计划给了他奖励。事实证明，另一个安全研究人员早些时候报告了同样的问题，证明了人们目前正在扫描这种类型的脆弱性。

开发人员应该确保他们更新其Java服务器和应用程序使用的Apache Commons集合库，以至少版本为3.2.2或4.1，该版本为此问题。但是，在其他库中也存在这种类型的脆弱性，也是等待被发现的。