一名研究人員發(fā)現(xiàn)Paypal平臺有個漏洞�,可能讓攻擊者發(fā)動點擊劫持(clickjacking),竊取用戶賬戶中的錢����。
一名研究人員發(fā)現(xiàn)Paypal平臺有個漏洞,可能讓攻擊者發(fā)動點擊劫持(clickjacking)����,竊取用戶賬戶中的錢。
代號h4x0r_dz的研究人員去年10月向Paypal通報這項漏洞���。
點擊劫持是一種攻擊手法����,攻擊者在網(wǎng)頁中將惡意程序代碼等隱藏在看似無害的網(wǎng)頁內(nèi)容中���,例如加一層或好幾層透明層�����,再誘使用戶點擊他們以為的合法功能如按鈕或連接���,旨在將用戶導向惡意網(wǎng)站以泄露帳密敏感資訊或下載惡意程序。這種手法又被稱為用戶接口偽裝(UI redressing)。
h4x0r_dz發(fā)現(xiàn)到Paypal網(wǎng)站有個端點www“.”paypal.com/agreements/approve����,可被用來進行點擊劫持。它是允許用戶同意付費的計費協(xié)議�,本來只應(yīng)接受billingAgreementToken���,但他發(fā)現(xiàn)也可以上傳其他token����,使用戶被導向他持有的網(wǎng)頁����,借此獲取用戶資訊。
研究人員表示���,攻擊者可將這有問題的端點包在iFrame中���,使受害者以瀏覽器登錄,就能獲取用戶Paypal帳密��,而將用戶Paypal財產(chǎn)轉(zhuǎn)到攻擊者持有的Paypal賬號�����,或是利用受害者的賬號支付任何服務(wù)費用。
研究人員目的是通報漏洞賺取漏洞挖掘獎金��,不過Paypal似乎并未回應(yīng)研究人員的通報����。The Hacker News報道,該漏洞迄今尚未修補���。但是研究人員公布的端點已經(jīng)無法使用��,似乎已被關(guān)閉�。
立即登錄�����,閱讀全文
閩公網(wǎng)安備 35010202001226號
