首页 > 安全 > 正文

贝宝(PayPal)的缺陷可以允许攻击者从用户帐户中窃取资金

最后更新 :2022.05.24

一位安全研究人员宣布发现贝宝(Paypal)中有一个未解决的缺陷,该缺陷可以使攻击者从用户那里窃取钱。

Thehackernews首先报告说,一名安全研究人员(与绰号H4X0R_DZ一起在线)贝宝(Paypal)中的未拨打缺陷,可以使攻击者单击一次攻击者控制攻击者控制的交易。

这种攻击利用可见页面顶部显示的隐形覆盖页或HTML元素。单击合法页面后,用户实际上是单击覆盖合法内容的攻击者控制的元素。

PayPal hack

专家报告了错误。对于七个月的PayPal Bug Bounty计划,拒绝攻击者可以通过利用Clickjacking来窃取用户钱,

研究人员在www.paypal [。证明端点是为计费协议而设计的。

端点应仅接受BillingagreementToken,但专家发现这不是真的。

我发现我们可以通过另一种代币类型,并且这导致从受害者Paypal帐户中窃取资金。阅读研究人员发表的帖子。如您在图片中看到的那样,攻击者能够加载敏感的 

paypal.com

  endpoint在iframe中,当攻击者单击“接近点击此处”时,他会购买东西。

受害人应在页面上的任何地方点击,并将钱汇给攻击者贝宝(Paypal)。

该问题也可以利用为订阅允许PayPal付款的服务。

]有一些在线服务可以让您使用PayPal在帐户中添加余额,例如Steam!。我可以使用相同的利用,并迫使用户向我的帐户添加钱!阅读研究人员发表的帖子。或者我可以利用这个错误,让受害者为我创建/付款Netflix帐户!
专家发布了对本期的POC漏洞,根据专家的说法,尚未修补。



 在撰写本文时,PayPal尚未授予该错误。

请投票赞成安全事务作为最佳欧洲网络安全博客奖。2022年投票给您的获奖者在“弱者最佳个人(非商业)安全博客和Tech Whiz最佳技术博客以及您选择的其他”部分中为我投票。要提名,请访问:https://docs.google.com/forms/d/e/1faipqlsfxxrximz9qm9iipumqic-iomqic-iom-npqmosfznjxrbqryjgcow/viewform/viewform  

- END -

看更多