支付巨头PayPal曝大漏洞,黑客可直接窃取用户资金

安全 黑客攻防
黑客利用了不可见的覆盖页面或显示在可见页面顶部的HTML元素。在点击合法页面时,用户实际上是在点击由攻击者控制的覆盖合法内容的恶意元素。

据The Hacker News消息,昵称为h4x0r_dz的安全研究人员在支付巨头PayPal的汇款服务中发现了一个未修补的大漏洞,可允许攻击者窃取用户账户中的资金。其攻击原理是利用点击劫持技术诱导用户进行点击,在不知不觉中完成交易,最终达到窃取资金的目的。

所谓点击劫持技术,指的是不知情的用户被诱骗点击看似无害的网页元素(如按钮),目的是下载恶意软件、重定向到恶意网站或泄露敏感信息。

而在PayPal的漏洞中,这个技术被用来完成交易。黑客利用了不可见的覆盖页面或显示在可见页面顶部的HTML元素。在点击合法页面时,用户实际上是在点击由攻击者控制的覆盖合法内容的恶意元素。

2021年10月,h4x0r_dz向PayPal报告了这一漏洞,证明攻击者可以通过利用 Clickjacking 窃取用户的资金。

h4x0r_dz是在专为计费协议设计的“www.paypal[.]com/agreements/approve”端点上发现了该漏洞。他表示,“按照逻辑,这个端点应只接受 billingAgreementToken,但在深入测试后发现并非如此,我们可以通过另一种令牌类型完成,这让攻击者有机会从受害者的 PayPal 账户中窃取资金。”

这意味着攻击者可以将上述端点嵌入到iframe中,如下图所示,此时已经登录Web浏览器的受害者点击页面的任何地方,就会自动向攻击者所控制的PayPal 帐户付款。

更令人担忧的是,这次攻击可能会对和PayPal集成进行结账的在线门户网站造成灾难性后果,从而使攻击者能够从用户的PayPal账户中扣除任意金额。

h4x0r_dz在社交平台上发布的帖子写到,“有一些在线服务可以让你使用 PayPal 将余额添加到你的帐户中,我可以使用相同的漏洞并强迫用户向我的帐户充值,或者我可以利用此漏洞让受害者为我创建/支付 Netflix帐户。”

目前,有安全专家表示,该漏洞尚未完成修复工作,用户应保持足够的警惕。

责任编辑:赵宁宁 来源: FreeBuf.COM
相关推荐

2014-06-16 16:13:08

2015-08-06 15:32:40

2020-04-02 11:20:23

Zoom漏洞黑客

2023-08-11 18:18:15

2023-04-04 22:23:09

2015-08-06 13:17:23

2013-08-06 18:01:30

2020-09-22 10:05:29

漏洞蓝牙黑客

2021-10-20 11:33:29

Telegram BoPayPal间谍软件

2014-07-31 11:33:11

2022-06-16 13:43:45

漏洞黑客网络攻击

2011-05-26 12:25:18

2015-04-30 08:11:40

2011-05-05 18:39:05

2024-09-14 14:46:55

2019-07-21 08:33:53

浏览器扩展插件安全

2016-01-14 14:35:36

2015-07-02 11:16:49

乌云

2020-07-22 16:30:30

黑客网络钓鱼攻击

2023-08-22 21:30:12

点赞
收藏

51CTO技术栈公众号