PayPal漏洞允许黑客窃取您的所有资金
相关标签: # 研究# 脚本# 攻击# 支付# 信息
埃及研究员发现了一个存储的跨站点脚本(XSS)安全漏洞。
当从任何在线购物网站购买时,该域名都被用来进行安全的在线支付。它使买家能够使用他们的支付卡或PayPal帐户进行支付,无需存储敏感的支付信息。
然而,攻击者有可能建立一个流氓网店或劫持一个合法的购物网站,诱骗用户交出他们的个人和财务信息。
存储的XSS攻击是如何工作的?
Hegazy在他的博客文章中解释了一个循序渐进的过程,其中对攻击进行了详细解释。
以下是研究人员所说的最糟糕的攻击场景:
- 攻击者需要设置恶意购物网站或劫持任何合法购物网站
- 现在修改“结账“按钮,其URL旨在利用XSS漏洞
- 每当Paypal用户浏览格式错误的购物网站,并点击“结帐”按钮以Paypal帐户付款时,他们将被重定向到安全支付页面
- 该页面实际上显示了一个钓鱼页面,要求受害者输入他们的支付卡信息以完成购买
- 现在,点击Submit Payment(提交付款)按钮,而不是支付产品价格(比如100美元)Paypal用户将根据攻击者的选择向攻击者支付一定金额。
研究人员还提供了一个概念验证(PoC)视频,显示了工作中的攻击。你可以在这里观看视频。
Hegazy在6月19日向PayPal团队报告了这一严重的安全漏洞,该团队确认了安全漏洞,该漏洞于8月25日和8月11日修复;两个多月后。
PayPal还向Hegazy提供了bug bounty of $750这是该公司对XSS漏洞的最大漏洞悬赏。
特别声明:以上内容(图片及文字)均为互联网收集或者用户上传发布,本站仅提供信息存储服务!如有侵权或有涉及法律问题请联系我们。
举报
