一名研究人員發(fā)現Paypal平臺有個漏洞�����,可能讓攻擊者發(fā)動點擊劫持(clickjacking)����,竊取用戶賬戶中的錢。
一名研究人員發(fā)現Paypal平臺有個漏洞���,可能讓攻擊者發(fā)動點擊劫持(clickjacking)�����,竊取用戶賬戶中的錢����。
代號h4x0r_dz的研究人員去年10月向Paypal通報這項漏洞����。
點擊劫持是一種攻擊手法,攻擊者在網頁中將惡意程序代碼等隱藏在看似無害的網頁內容中���,例如加一層或好幾層透明層�����,再誘使用戶點擊他們以為的合法功能如按鈕或連接���,旨在將用戶導向惡意網站以泄露帳密敏感資訊或下載惡意程序。這種手法又被稱為用戶接口偽裝(UI redressing)����。
h4x0r_dz發(fā)現到Paypal網站有個端點www“.”paypal.com/agreements/approve,可被用來進行點擊劫持�。它是允許用戶同意付費的計費協(xié)議,本來只應接受billingAgreementToken���,但他發(fā)現也可以上傳其他token���,使用戶被導向他持有的網頁,借此獲取用戶資訊�。
研究人員表示,攻擊者可將這有問題的端點包在iFrame中�����,使受害者以瀏覽器登錄����,就能獲取用戶Paypal帳密�����,而將用戶Paypal財產轉到攻擊者持有的Paypal賬號����,或是利用受害者的賬號支付任何服務費用��。
研究人員目的是通報漏洞賺取漏洞挖掘獎金���,不過Paypal似乎并未回應研究人員的通報��。The Hacker News報道���,該漏洞迄今尚未修補。但是研究人員公布的端點已經無法使用����,似乎已被關閉。
立即登錄���,閱讀全文
閩公網安備 35010202001226號
