據(jù)The Hacker News消息�����,昵稱為h4x0r_dz的安全研究人員在支付巨頭PayPal的匯款服務(wù)中發(fā)現(xiàn)了一個(gè)未修補(bǔ)的大漏洞�����,可允許攻擊者竊取用戶賬戶中的資金����。其攻擊原理是利用點(diǎn)擊劫持技術(shù)誘導(dǎo)用戶進(jìn)行點(diǎn)擊�����,在不知不覺中完成交易����,最終達(dá)到竊取資金的目的。
所謂點(diǎn)擊劫持技術(shù)�����,指的是不知情的用戶被誘騙點(diǎn)擊看似無害的網(wǎng)頁元素(如按鈕),目的是下載惡意軟件��、重定向到惡意網(wǎng)站或泄露敏感信息����。
而在PayPal的漏洞中,這個(gè)技術(shù)被用來完成交易����。黑客利用了不可見的覆蓋頁面或顯示在可見頁面頂部的HTML元素。在點(diǎn)擊合法頁面時(shí)��,用戶實(shí)際上是在點(diǎn)擊由攻擊者控制的覆蓋合法內(nèi)容的惡意元素���。
2021年10月����,h4x0r_dz向PayPal報(bào)告了這一漏洞��,證明攻擊者可以通過利用 Clickjacking 竊取用戶的資金����。
h4x0r_dz是在專為計(jì)費(fèi)協(xié)議設(shè)計(jì)的“www.paypal[.]com/agreements/approve”端點(diǎn)上發(fā)現(xiàn)了該漏洞����。他表示��,“按照邏輯��,這個(gè)端點(diǎn)應(yīng)只接受 billingAgreementToken����,但在深入測試后發(fā)現(xiàn)并非如此�,我們可以通過另一種令牌類型完成,這讓攻擊者有機(jī)會(huì)從受害者的 PayPal 賬戶中竊取資金�������!
這意味著攻擊者可以將上述端點(diǎn)嵌入到iframe中���,如下圖所示���,此時(shí)已經(jīng)登錄Web瀏覽器的受害者點(diǎn)擊頁面的任何地方,就會(huì)自動(dòng)向攻擊者所控制的PayPal 帳戶付款��。
更令人擔(dān)憂的是,這次攻擊可能會(huì)對和PayPal集成進(jìn)行結(jié)賬的在線門戶網(wǎng)站造成災(zāi)難性后果�,從而使攻擊者能夠從用戶的PayPal賬戶中扣除任意金額。
h4x0r_dz在社交平臺(tái)上發(fā)布的帖子寫到���,“有一些在線服務(wù)可以讓你使用 PayPal 將余額添加到你的帳戶中��,我可以使用相同的漏洞并強(qiáng)迫用戶向我的帳戶充值�����,或者我可以利用此漏洞讓受害者為我創(chuàng)建/支付 Netflix帳戶���。”
目前���,有安全專家表示���,該漏洞尚未完成修復(fù)工作,用戶應(yīng)保持足夠的警惕����。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價(jià)
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
