利用Paypal漏洞 黑客盗取你的全部财产于无形

2015-08-31 278075人围观 ,发现 11 个不明物体 漏洞资讯

*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。

埃及安全研究员Ebrahim Hegazy在Paypal支付网站上发现一个关键存储型XSS漏洞,该漏洞可允许攻击者窃取你的登录凭证,甚至以明文格式盗取用户信用卡信息!

About Paypal

Paypal,大陆称之为贝宝,是倍受全球亿万用户追捧的国际贸易支付工具,即时支付,即时到账。(美国版支付宝)

SecurePayments支付页面

SecurePayments被设计为用户在任何网站购买商品时用作安全支付验证。

用户选好商品之后会进入支付页面(同支付宝流程),用户必须在这个页面中输入自己信用卡的相关信息才能完成支付。需要填写的信息有:信用卡号码,CVV2,有效期等。Paypal的SecurePayments页面采用HTTPS加密通道传输用户提交的数据,保护用户的数据安全。

但是,安全研究员Ebrahim Hegazy表示:攻击者可通过建立一个恶意在线商店或者是对合法购物网站进行劫持,然后再利用该漏洞窃取用户的登录凭证和信用卡信息。

漏洞利用攻击场景:

1.攻击者建立一个购物网站或入侵、劫持任何购物网站;
2.通过Paypal的漏洞修改“CheckOut”按钮;
3.Paypal用户浏览恶意购物网站,点击“付款”按钮,使用Paypal账户支付,接着用户将会被重定向到 
4.该页面实际上是一个钓鱼页面:要求受害者输入支付信用卡信息来完成支付;5.信息输入完成后,点击提交按钮,完成支付。事实上成交的价格并不是支付显示的价格(100美元),你支付金额的多少完全取决于攻击者!

POC演示视频:

Hegazy荣获XSS类型漏洞的最高奖金

作为一名白帽子,安全研究员已将这个漏洞报告给Paypal,而且Paypal也已经修复了该漏洞。

基于Hegazy发现的漏洞,PayPal公司给予了他750美金的奖励。需注意的是,这是PayPal公司对于XSS漏洞给予的最高奖金。

*参考来源:THNSDSA ;转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

这些评论亮了

  • 我去,750刀 :eek:
    )11( 亮了
  • 核和合赫赫核喝 回复
    没有被日出问题的漏洞都不叫漏洞。没有造成损失的危害都不是严重危害。
    )8( 亮了
  • yyyy3333 回复
    750*6.3 …… 4725 吧
    )8( 亮了
  • Colbert (1级) 男人扣吧扣吧,不是罪 回复
    750=3 * 250
    )8( 亮了
  • 尼瑪 回复
    超級超級少耶
    竟然這樣也叫最高獎金
    這技術她賣給OO他能賺更多錢
    這些正規行業如此不注重資安
    白帽都是正義感太強還是真的滿足於750美
    )7( 亮了
发表评论

已有 11 条评论

取消
Loading...

特别推荐

推荐关注

填写个人信息

姓名
电话
邮箱
公司
行业
职位
css.php