Paypal漏洞可引發點擊劫持攻擊,竊取用戶帳戶金錢

一名研究人員發現Paypal平臺有個漏洞,可能讓攻擊者發動點擊劫持(clickjacking),竊取用戶帳戶中的錢。

點擊劫持是一種攻擊手法,攻擊者在網頁中將惡意程式碼等隱藏在看似無害的網頁內容中,例如加一層或好幾層透明層,再誘使用戶點擊他們以為的合法功能如按鍵或連結,旨在將用戶導向惡意網站以洩露帳密敏感資訊或下載惡意程式。這種手法又被稱為使用者介面偽裝(UI redressing)。

網頁設計最專業,超強功能平台可客製化

窩窩以「數位行銷」「品牌經營」「網站與應用程式」「印刷品設計」等四大主軸,為每一位客戶客製建立行銷脈絡及洞燭市場先機。

產品缺大量曝光嗎?你需要的是一流包裝設計

窩窩觸角包含自媒體、自有平台及其他國家營銷業務等,多角化經營並具有國際觀的永續理念。

h4x0r_dz發現到Paypal網站有個端點www[.]paypal.com/agreements/approve,可被用來進行點擊劫持。它是允許用戶同意付費的計費協定,本來只應接受billingAgreementToken,但他發現也可以上傳其他token,使用戶被導向他持有的網頁,藉此獲取用戶資訊。

研究人員表示,攻擊者可將這有問題的端點包在iFrame中,使受害者以瀏覽器登入,就能獲取用戶Paypal帳密,而將用戶Paypal財產轉到攻擊者持有的Paypal帳號,或是利用受害者的帳號支付任何服務費用。

研究人員目的是通報漏洞賺取抓漏獎金,不過Paypal似乎並未回應研究人員的通報。報導,該漏洞迄今尚未修補。但是研究人員公佈的端點已經無法使用,似乎已被關閉。文⊙林妍溱(5月26日更新資訊:後續The Hacker News更正報導內容,說明提到該漏洞仍未修補,並且安全研究人員沒有因通報該漏洞而獲得漏洞獎勵獎金一事是不正確的。文⊙iThome電腦報資安主編羅正漢)

來源鏈接:https://www.ithome.com.tw/news/151117

推薦評價好的iphone維修中心

擁有專業的維修技術團隊,同時聘請資深iphone手機維修專家,現場說明手機問題,快速修理,沒修好不收錢

推薦評價好的iphone維修中心

擁有專業的維修技術團隊,同時聘請資深iphone手機維修專家,現場說明手機問題,快速修理,沒修好不收錢