新的未修补漏洞可能让攻击者从PayPal用户那里窃取资金

一名安全研究人员声称，在贝宝的转账服务中发现了一个未修补的漏洞，攻击者可以利用该漏洞诱骗受害者在不知情的情况下通过单击完成攻击者指导的交易。

点击劫持（Clickjacking），也称为UI修正，指的是一种技术，在这种技术中，无意中的用户被诱骗点击看似无害的网页元素，如按钮，目的是下载恶意软件、重定向到恶意网站或泄露敏感信息。

这通常是通过在可见页面的顶部显示一个不可见页面或HTML元素来实现的，这会导致这样一种情况：用户被愚弄，以为他们在单击合法页面，而实际上他们正在单击覆盖在其上的恶意元素。

安全研究员h4x0r\u dz在一篇记录调查结果的帖子中写道：“因此，攻击者正在‘劫持’指向[合法]页面的点击，并将其路由到另一个页面，很可能属于另一个应用程序、域或两者兼有。”

他在“www.paypal”上发现了这个问题com/agreements/approve“endpoint表示，该问题已于2021 10月报告给该公司。

研究人员解释道：“该端点是为计费协议设计的，它应该只接受billingAgreementToken。”。“但在我的深入测试中，我发现我们可以通过另一种令牌类型，这导致从受害者的贝宝账户中偷钱。”

这意味着对手可以将上述端点嵌入iframe中，使已登录web浏览器的受害者只需单击按钮即可将资金转移到攻击者控制的PayPal帐户。

更令人担忧的是，该攻击可能会对与贝宝集成的在线门户网站造成灾难性后果，使恶意参与者能够从用户的贝宝账户中扣除任意金额。

h4x0r\U dz表示：“有一些在线服务可以让你使用贝宝在账户上增加余额。”。“我可以使用相同的漏洞，迫使用户向我的帐户中添加资金，或者我可以利用此漏洞，让受害者为我创建/支付Netflix帐户！”

（最新消息：该报道已被更正，提到该漏洞尚未修补，安全研究员没有因报告该问题而获得任何漏洞奖励。该错误令人遗憾。我们还联系了贝宝以了解更多详细信息。）