一名研究人員發(fā)現(xiàn)Paypal平臺有個漏洞��,可能讓攻擊者發(fā)動點擊劫持(clickjacking)�,竊取用戶賬戶中的錢。
一名研究人員發(fā)現(xiàn)Paypal平臺有個漏洞���,可能讓攻擊者發(fā)動點擊劫持(clickjacking)�����,竊取用戶賬戶中的錢�。
代號h4x0r_dz的研究人員去年10月向Paypal通報這項漏洞��。
點擊劫持是一種攻擊手法�����,攻擊者在網(wǎng)頁中將惡意程序代碼等隱藏在看似無害的網(wǎng)頁內(nèi)容中����,例如加一層或好幾層透明層��,再誘使用戶點擊他們以為的合法功能如按鈕或連接�����,旨在將用戶導向惡意網(wǎng)站以泄露帳密敏感資訊或下載惡意程序。這種手法又被稱為用戶接口偽裝(UI redressing)��。
h4x0r_dz發(fā)現(xiàn)到Paypal網(wǎng)站有個端點www“.”paypal.com/agreements/approve����,可被用來進行點擊劫持。它是允許用戶同意付費的計費協(xié)議��,本來只應接受billingAgreementToken�,但他發(fā)現(xiàn)也可以上傳其他token,使用戶被導向他持有的網(wǎng)頁��,借此獲取用戶資訊����。
研究人員表示,攻擊者可將這有問題的端點包在iFrame中����,使受害者以瀏覽器登錄�����,就能獲取用戶Paypal帳密�����,而將用戶Paypal財產(chǎn)轉(zhuǎn)到攻擊者持有的Paypal賬號��,或是利用受害者的賬號支付任何服務費用�����。
研究人員目的是通報漏洞賺取漏洞挖掘獎金��,不過Paypal似乎并未回應研究人員的通報�����。The Hacker News報道��,該漏洞迄今尚未修補��。但是研究人員公布的端點已經(jīng)無法使用���,似乎已被關(guān)閉�����。
立即登錄��,閱讀全文
閩公網(wǎng)安備 35010202001226號
