江苏龙网

  1. 首页 > 人文 > >

FreeBuf:不被PayPal待见的6个安全漏洞( 二 )


当以上述一种或几种行为发生时 , PayPal在触发转账防护措施过程中 , 会抛出一些错误 , 其中包括:
你需要链接到其它新的支付方式实现转账(You’ll need to link a new payment method to send the money)
你的转账操作被拒绝 , 稍后请重新尝试(Your payment was denied, please try again later)
我们分析发现 , 上述的转账错误可以被枚举 , 如果与漏洞1(登录后的PayPal双因素认证(2FA)绕过)配合利用 , 就可以绕过转账安全防护措施 , 登录一些受害者账户 , 实现钱款操作 。 而当我们提交了该漏洞之后 , PayPal却声称 , 由于这需要与其它漏洞配合才能产生实际威胁 , 因此不属众测范围之内 。
漏洞4:用户账户命名可更改默认来说 , 针对用户名更改 , PayPal只允许用户一次更改其中的1-2个字母 , 之后就不能再更改了 。 但是 , 我们发现 , 在当前PayPal.com网站应用中 , 我们可以更改完整的用户名 , 比如下面的从“Tester IAmTester” 更改为“christin christina”
FreeBuf:不被PayPal待见的6个安全漏洞
本文插图
我们通过拦截用户名更改请求 , 每次替换其中的1-2个字母 , 可以无需任何验证就可实现完整的用户名更改 , 甚至可以在用户名字段中加入表情标志等unicode符号 。 漏洞危害是 , 如果攻击者可进行任意的用户名更改 , 那么会与 , 如果与漏洞1(登录后的PayPal双因素认证(2FA)绕过)配合利用 , 可劫持其他重名PayPal 。 漏洞提交后 , PayPal回应称该漏洞已有其他白帽上报过 , 属于重复报 。 漏洞5:自助聊天系统存储型XSS漏洞在PayPal的自助聊天系统SmartChat中 , 用户可以找到一些通常问题的答案 , 我们研究发现SmartChat对用户输入缺乏验证 , 可以在聊天框中提交一些程序脚本 , 导致可以解析出程序按钮或框架 。
FreeBuf:不被PayPal待见的6个安全漏洞
本文插图
我们可以用中间人攻击MITM代理对上述网络流量进行抓包拦截 , 在其中附加进恶意构造的Payload , 深入攻击可获取受害者账户信息 。 PayPal对该漏洞的回应是 , 这不是一个外部可利用的漏洞 , 所以不算安全问题 , 最后漏洞分类为“不适用”(Not Applicable) 。
漏洞6:安全问题输入中存在持久型XSS该漏洞与漏洞5类似 , 原因在于PayPal未对安全问题的用户输入答案实施过滤 , 导致存在XSS , 我们可以使用MITM代理对其抓包构造 , 实现XSS触发 。 下图为我们向其中注入了大量可点击的链接:
FreeBuf:不被PayPal待见的6个安全漏洞
本文插图
漏洞危害是 , 攻击者可以在其中嵌入以下链接:
提示“Download the new PayPal app” 的恶意APP下载链接;
更改转账收款人的邮箱地址;
对受害者进行键盘记录监听收集*信息 。
PayPal对该漏洞的回应称已有其他安全人员提交过该漏洞 , 而就在同一天 , PayPal对该漏洞进行了修复 。
Cybernews认为的观点Cybernews阐述攻击者的以下攻击场景为:
在黑市买到包含PayPal账户密码凭据的信息 , 比如这里能以$150美金买到一个价值$5,000的PayPal账户;
使用漏洞1绕过PayPal的登录后2FA认证;
使用漏洞3绕过转账安全措施 , 可以从账户绑定的*实施转账
攻击者还可以使用漏洞1绕过登录后2FA认证 , 再使用漏洞4更改其账户持有者的PayPal用户名 。
对于攻击者和骗子来说 , 他们会有更多的动机和方式来对这些漏洞进行利用 , 然而但对PayPal本身来说 , 他们却认为这些都不是问题 。
*参考来源:cybernews , clouds 编译整理 , 转载请注明来自 FreeBuf.COM


推荐阅读


上一篇:[人脸识别]疫情加速百度人脸识别变革:戴口罩也能准确识别,迅速上线

下一篇:『罗永浩』罗永浩宣布要做带货一哥后,合作单子如雪花般飞来