PayPal 中的一个漏洞可以让攻击者从用户的账户中窃取资金

admin 2022年5月24日17:00:55安全新闻评论6 views1006字阅读3分21秒阅读模式

更多全球网络安全资讯尽在邑安全

一名安全研究人员宣布在 PayPal 中发现一个未修补的漏洞,该漏洞可能允许攻击者从用户那里窃取资金。

TheHackerNews 首次报道称,一名安全研究人员(使用绰号 h4x0r_dz 上网)在 PayPal 中发现了一个未修补的漏洞,该漏洞可能允许攻击者诱骗用户通过单击完成由攻击者控制的交易。

这种攻击利用了不可见的覆盖页面或显示在可见页面顶部的 HTML 元素。在点击合法页面时,用户实际上是在点击由攻击者控制的覆盖合法内容的元素。


PayPal 中的一个漏洞可以让攻击者从用户的账户中窃取资金


该专家在 7 个月内向 PayPal 漏洞赏金计划报告了该漏洞,证明攻击者可以通过利用 Clickjacking 窃取用户的资金,

研究人员在专为计费协议设计的“www.paypal[.]com/agreements/approve”端点上发现了该漏洞。

端点应该只接受 billingAgreementToken,但专家发现它不是真的。

“我发现我们可以传递另一种代币类型,这会导致从受害者的 PayPal 账户中窃取资金。” 阅读研究人员发布的帖子。“正如你在图片中看到的,攻击者能够在 iframe 中加载一个敏感的 paypal.com 端点,当攻击者点击‘near to click here’时,他就会买东西。”

受害者应该点击页面上的任何地方,它会向攻击者的 PayPal 汇款。

也可以利用该问题来订阅允许 PayPal 付款的服务。

“有一些在线服务可以让您使用 Paypal 将余额添加到您的帐户中,例如 steam!. 我可以使用同样的漏洞,强迫用户向我的账户充值!” 阅读研究人员发布的帖子。“或者我可以利用这个漏洞,让受害者为我创建/支付 Netflix 帐户!”

专家们针对这个问题发布了一个 PoC 漏洞利用,据专家称尚未修补。

原文来自: securityaffairs.co

原文链接: https://securityaffairs.co/wordpress/131569/hacking/paypal-clickjacking-attack.html

欢迎收藏并分享朋友圈,让五邑人网络更安全

PayPal 中的一个漏洞可以让攻击者从用户的账户中窃取资金

欢迎扫描关注我们,及时了解最新安全动态、学习最潮流的安全姿势!


推荐文章

1

新永恒之蓝?微软SMBv3高危漏洞(CVE-2020-0796)分析复现

2

重大漏洞预警:ubuntu最新版本存在本地提权漏洞(已有EXP) 



原文始发于微信公众号(邑安全):PayPal 中的一个漏洞可以让攻击者从用户的账户中窃取资金

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年5月24日17:00:55
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  PayPal 中的一个漏洞可以让攻击者从用户的账户中窃取资金 http://cn-sec.com/archives/1045556.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: