一名研究人員發(fā)現(xiàn)Paypal平臺(tái)有個(gè)漏洞,可能讓攻擊者發(fā)動(dòng)點(diǎn)擊劫持(clickjacking)�,竊取用戶賬戶中的錢。
一名研究人員發(fā)現(xiàn)Paypal平臺(tái)有個(gè)漏洞,可能讓攻擊者發(fā)動(dòng)點(diǎn)擊劫持(clickjacking),竊取用戶賬戶中的錢�。
代號(hào)h4x0r_dz的研究人員去年10月向Paypal通報(bào)這項(xiàng)漏洞���。
點(diǎn)擊劫持是一種攻擊手法,攻擊者在網(wǎng)頁(yè)中將惡意程序代碼等隱藏在看似無(wú)害的網(wǎng)頁(yè)內(nèi)容中�����,例如加一層或好幾層透明層���,再誘使用戶點(diǎn)擊他們以為的合法功能如按鈕或連接����,旨在將用戶導(dǎo)向惡意網(wǎng)站以泄露帳密敏感資訊或下載惡意程序。這種手法又被稱為用戶接口偽裝(UI redressing)��。
h4x0r_dz發(fā)現(xiàn)到Paypal網(wǎng)站有個(gè)端點(diǎn)www“.”paypal.com/agreements/approve����,可被用來(lái)進(jìn)行點(diǎn)擊劫持。它是允許用戶同意付費(fèi)的計(jì)費(fèi)協(xié)議�,本來(lái)只應(yīng)接受billingAgreementToken,但他發(fā)現(xiàn)也可以上傳其他token���,使用戶被導(dǎo)向他持有的網(wǎng)頁(yè)��,借此獲取用戶資訊���。
研究人員表示,攻擊者可將這有問(wèn)題的端點(diǎn)包在iFrame中�����,使受害者以瀏覽器登錄���,就能獲取用戶Paypal帳密�����,而將用戶Paypal財(cái)產(chǎn)轉(zhuǎn)到攻擊者持有的Paypal賬號(hào)����,或是利用受害者的賬號(hào)支付任何服務(wù)費(fèi)用。
研究人員目的是通報(bào)漏洞賺取漏洞挖掘獎(jiǎng)金����,不過(guò)Paypal似乎并未回應(yīng)研究人員的通報(bào)。The Hacker News報(bào)道��,該漏洞迄今尚未修補(bǔ)�����。但是研究人員公布的端點(diǎn)已經(jīng)無(wú)法使用�����,似乎已被關(guān)閉���。
閩公網(wǎng)安備 35010202001226號(hào)
