PayPal 中的一个漏洞可以让攻击者从用户的账户中窃取资金

一名安全研究人员宣布在 PayPal 中发现一个未修补的漏洞，该漏洞可能允许攻击者从用户那里窃取资金。

TheHackerNews 首次报道称，一名安全研究人员（使用绰号 h4x0r_dz 上网）在 PayPal 中发现了一个未修补的漏洞，该漏洞可能允许攻击者诱骗用户通过单击完成由攻击者控制的交易。

这种攻击利用了不可见的覆盖页面或显示在可见页面顶部的 HTML 元素。在点击合法页面时，用户实际上是在点击由攻击者控制的覆盖合法内容的元素。

该专家在 7 个月内向 PayPal 漏洞赏金计划报告了该漏洞，证明攻击者可以通过利用 Clickjacking 窃取用户的资金，

研究人员在专为计费协议设计的“www.paypal[.]com/agreements/approve”端点上发现了该漏洞。

端点应该只接受 billingAgreementToken，但专家发现它不是真的。

“我发现我们可以传递另一种代币类型，这会导致从受害者的 PayPal 账户中窃取资金。” 阅读研究人员发布的帖子。“正如你在图片中看到的，攻击者能够在 iframe 中加载一个敏感的 paypal.com 端点，当攻击者点击‘near to click here’时，他就会买东西。”

受害者应该点击页面上的任何地方，它会向攻击者的 PayPal 汇款。

也可以利用该问题来订阅允许 PayPal 付款的服务。

“有一些在线服务可以让您使用 Paypal 将余额添加到您的帐户中，例如 steam！. 我可以使用同样的漏洞，强迫用户向我的账户充值！” 阅读研究人员发布的帖子。“或者我可以利用这个漏洞，让受害者为我创建/支付 Netflix 帐户！”

专家们针对这个问题发布了一个 PoC 漏洞利用，据专家称尚未修补。

原文来自: securityaffairs.co