今天我來介紹一下我之前是如何攻入PayPal記錄系統(tǒng)的，這個BUG已經(jīng)被反饋給了Paypal安全團隊并立即得到了修補。

利用這個漏洞，攻擊者可以完全訪問PayPal的用戶交易記錄。在這些記錄里，你可以找到如下的用戶信息：

購物地址
電子郵箱
電話號碼
商品名稱
購買數(shù)量
用戶全名
交易號
發(fā)票號
交易主體
賬戶名
Paypal參考編號
等等……

首先，在PayPal的用戶界面，這里有一個“交易記錄”的選項：

通常，用戶可以通過這個選項來訪問自己購買過的商品記錄。

當我點擊了交易記錄時，我發(fā)現(xiàn)程序發(fā)送了一個post請求，大概是這個樣子 (POST /acweb/iportal/activePortal/viewer/viewframeset.jsp):

接下來我又看到了一個路徑 (/acweb/iportal/activePortal/viewer/)，其中有些部分引起了我的興趣 (iportal, activePortal)。隨即我就谷歌了一下：

https://www.google.co.il/#site=&source=hp&q=inurl:activePortal%2Fviewer%2Fviewframeset.jsp

我發(fā)現(xiàn)這個程序是由Actuate開發(fā)的：http://www.actuate.com/home/

出于這點，PayPal似乎是靠運行Actuate Iportal (一個第三方應用) 來為用戶顯示交易記錄的。你們都知道我最喜歡試用版了，試用版就像是這樣：

我下載了30天試用版的Actuate Iportal Application。這能讓我得到源代碼，目錄結構和文件名，甚至還附送了完整版的用戶手冊。

http://www.birt-exchange.com/be/documentation/Manuals/creating-custom-iportal-apps.pdf

這手冊節(jié)省了我不少時間，因為他們已經(jīng)把參數(shù)信息和文件名都整理好了。

經(jīng)過一番徹底的檢查，我發(fā)現(xiàn)了一個有趣的文件getfolderitems.do。PayPal交易記錄系統(tǒng)(business.paypal.com)允許我以普通用戶的權限訪問這個文件。這是因為Actuate就是用這個文件顯示交易記錄的。當然最重要的一點就是你可以用非管理員賬戶使用這個文件。

那就來看看getfolderitems.do文件中包含了哪些具體參數(shù)吧： 

1、ID:

Id值，來顯示具體用戶目錄中的內容。例如：

Id=1234 (Nir Item)

Id=12345 (Egor item)

2、Folder:

目錄，指定用戶記錄的路徑 (getfolderitems.do?folder=/users/)。

現(xiàn)在，我首先想試圖通過getfolderitems.do來訪問用戶目錄從而突破PayPal記錄系統(tǒng)。例如：

https://business.paypal.com/acweb/getfolderitems.do?folder=/users/

但是沒成功!PayPal禁止我通過getfolderitems.do來訪問用戶目錄的請求。

我知道了PayPal已經(jīng)對這個漏洞的惡意訪問進行了限制，于是我需要換一種攻擊方式才能成功的訪問PayPal的用戶記錄。

經(jīng)過研究，之前提到的getfolderitems.do里的用戶參數(shù)暴露了用戶的加密令牌(secret tokenid)。所以，雖然PayPal會拒絕任何通過getfolderitems.do對用戶目錄的訪問 (getfolderitems.do?folder=/users/)，然而它卻允許攻擊者使用加密令牌(secret tokenid)來訪問目標用戶目錄。

例如：

被拒絕的請求：getfolderitems.do?folder=/users/

被成功執(zhí)行的請求：getfolderitems.do?folder=/users/9k1mvk2s10almQ9PM/

如果攻擊者(這里是我)輸入ID值 (getfolderitems.do?id=392302)，PayPal將會顯示出目標用戶的加密令牌(secret tokenid)。

這些ID值只有8-10位數(shù)字，而Paypal卻擁有上百萬的用戶。

關于這件事，我能夠有效訪問的PayPal用戶令牌值能夠讓我用來對用戶交易記錄目錄進行更為深入的攻擊：

(getfolderitems.do?folder=/users/tokenidofthevictim/)

從而獲得對用戶記錄目錄的完全訪問。

有圖為證：

順帶一提，在PayPal的BUG有獎反饋期間，我發(fā)現(xiàn)了大量圍繞Iportal的漏洞。最終，PayPal完全舍棄了這個應用。

原文地址：http://blog.idf.cn/archives/655.html