鼠标一点,黑掉你的Paypal账户(附视频演示)

t0129fe1ab0accb33bc.jpg

eBay旗下的数字化支付及转账服务PayPal(贝宝)被发现存在一个严重的web应用漏洞,受害人只要点击一下,攻击者便可控制用户的PayPal账户。此漏洞影响人数超过1.56亿人。

这一漏洞是埃及安全研究人员Yasser H. Ali发现的,他共发现了PayPal的三个漏洞,包括跨站请求伪造(CSRF)、绕过身份验证令牌、以及重置安全问题。这些漏洞可以被犯罪分子进行有针对性的攻击。

Yasser在演示视频中展示了攻击者是如何利用这三个漏洞一步一步的控制受害人paypal账户的。根据demo视频来看,攻击者可利用PayPal跨站请求伪造偷偷将一个新的二级电子邮箱ID(攻击者自己的电子邮箱)与受害者的账户进行关联,同时重置了账户所设安全问题的答案。

PayPal使用身份验证令牌来检测账户所有者合法请求的要求,但是从视频看来,Yasser成功的绕过了Paypal的防护并且执行了自己的exploit代码。

t01d768dfe9dd9163c0.png

Exploit代码被执行之后攻击者的电子邮箱id会添加到受害者账户,这样便可通过“忘记密码”选项重置账户密码。然而攻击者如果没有回答用户注册时提出的安全问题,无法改变受害者密码。但Yasser找到了PayPal存在的另外一个漏洞,可允许他完全绕过PayPal的安全设置实现这一目的。

随后PayPal修复了该漏洞。据悉,这名安全研究人员早前曾在eBay网站发现一个一分钟便可劫持eBay账户的类似漏洞。

附上视频演示: