组合拳:三个漏洞实现PayPal账户劫持

安全 漏洞
PayPal是eBay旗下流行的第三方支付产品,类似于国内的支付宝。最近有研究者在其web应用程序中发现了三个高危漏洞,攻击者可利用这些漏洞控制任意用户的PayPal账户。

PayPal是eBay旗下流行的第三方支付产品,类似于国内的支付宝。最近有研究者在其web应用程序中发现了三个高危漏洞,攻击者可利用这些漏洞控制任意用户的PayPal账户。

[[123804]]

科普:关于跨站请求伪造(CSRF)

跨站请求伪造(CSRF或者叫做XSRF)是攻击网站的一种方法:攻击者首先需要诱骗受害者访问特定的HTML网页,然后即能伪造受害者身份向存在漏洞的网站发送攻击请求。

攻击流程

埃及的安全研究员Yasser H. Ali在PayPal网站上发现了三个高危漏洞,分别是:CSRF(跨站请求伪造)漏洞、绕过身份验证令牌漏洞和重置安全验证问题漏洞。

Yasser在下文的视频中详细的演示了怎样利用这3个漏洞组合攻击受害者:攻击者通过CSRF漏洞秘密的把自己的邮箱ID关联到了受害者账户上,重置了受害者账户上安全验证问题的答案,最终通过“忘记密码”控制受害者的PayPal账户。

PayPal通常会使用身份验证令牌检测来自合法账户的正常请求,但是Yasser成功的绕过了Paypal的防护并且执行了漏洞利用(exploit)代码。

组合拳:三个漏洞实现PayPal账户劫持

一旦成功执行了漏洞利用代码,攻击者的邮件ID就会被添加到受害者的账户上,这样一来攻击者就可以点击PayPal网站上的“忘记密码”选项来重置账户密码了。但此时如果攻击者不能正确回答用户注册时设置的安全问题,他还是不能改变用户账户的原始密码。

于是Yasser顺藤查了下去,发现PayPal上还存在一个重置安全问题和答案的漏洞,最终绕过PayPal安全保护而重新设置受害者账户的密码。

目前PayPal安全小组已紧急修复了这些漏洞。

演示视频

视频源地址:https://www.youtube.com/watch?v=KoFFayw58ZQ

责任编辑:蓝雨泪 来源: FreeBuf
相关推荐

2014-06-16 16:13:08

2023-12-05 15:59:19

2020-11-10 08:47:36

漏洞bug远程代码

2015-05-06 09:57:32

2018-08-29 05:33:52

2014-09-22 10:38:26

2012-06-14 09:16:58

2022-11-10 09:57:24

2010-09-27 16:48:34

2021-09-16 15:06:33

漏洞管理漏洞网络攻击

2014-07-06 14:05:22

IBMWebSphere数字经济

2021-03-04 14:55:50

微软漏洞黑客

2016-11-10 13:21:06

2024-06-06 09:14:05

2011-10-31 09:26:07

惠普转型云计算

2017-11-02 08:44:50

组合式存储架构

2020-06-11 09:00:27

SDN网络架构网络

2013-06-25 10:11:18

2009-05-07 19:02:44

2011-09-18 14:27:58

点赞
收藏

51CTO技术栈公众号