安云网 - AnYun.ORG | 专注于网络信息收集、网络数据分享、网络安全研究、网络各种猎奇八卦。
当前位置: 安云网 > 技术关注 > WEB安全 > 鼠标一点,黑掉你的Paypal账户(附视频演示)

鼠标一点,黑掉你的Paypal账户(附视频演示)

时间:2015-01-30来源: 作者:360安全播报平台点击:
eBay旗下的数字化支付及转账服务PayPal(贝宝)被发现存在一个严重的web应用漏洞,受害人只要点击一下,攻击者便可控制用户的PayPal账户。此漏洞影响人数超过1.56亿人。这一漏洞是埃及安全研

t0129fe1ab0accb33bc.jpg //安云网咨询系统

eBay旗下的数字化支付及转账服务PayPal(贝宝)被发现存在一个严重的web应用漏洞,受害人只要点击一下,攻击者便可控制用户的PayPal账户。此漏洞影响人数超过1.56亿人。 //内容来自AnYun.ORG

这一漏洞是埃及安全研究人员Yasser H. Ali发现的,他共发现了PayPal的三个漏洞,包括跨站请求伪造(CSRF)、绕过身份验证令牌、以及重置安全问题。这些漏洞可以被犯罪分子进行有针对性的攻击。

//安云网,anyun.org

Yasser在演示视频中展示了攻击者是如何利用这三个漏洞一步一步的控制受害人paypal账户的。根据demo视频来看,攻击者可利用PayPal跨站请求伪造偷偷将一个新的二级电子邮箱ID(攻击者自己的电子邮箱)与受害者的账户进行关联,同时重置了账户所设安全问题的答案。 //copyright AnYun.ORG

PayPal使用身份验证令牌来检测账户所有者合法请求的要求,但是从视频看来,Yasser成功的绕过了Paypal的防护并且执行了自己的exploit代码。

//安云网咨询系统

t01d768dfe9dd9163c0.png //内容来自安云网

Exploit代码被执行之后攻击者的电子邮箱id会添加到受害者账户,这样便可通过“忘记密码”选项重置账户密码。然而攻击者如果没有回答用户注册时提出的安全问题,无法改变受害者密码。但Yasser找到了PayPal存在的另外一个漏洞,可允许他完全绕过PayPal的安全设置实现这一目的。

//本文来自安云网

随后PayPal修复了该漏洞。据悉,这名安全研究人员早前曾在eBay网站发现一个一分钟便可劫持eBay账户的类似漏洞。 //ANYUN.ORG

附上视频演示:

//安云网,anyun.org

//本文来自安云网

//安云网咨询系统

顶一下
(0)
0%
踩一下
(0)
0%
------分隔线----------------------------
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
验证码: 点击我更换图片
相关内容
推荐内容