PayPal是eBay旗下流行的第三方支付產(chǎn)品，類(lèi)似于國(guó)內(nèi)的支付寶。最近有研究者在其web應(yīng)用程序中發(fā)現(xiàn)了三個(gè)高危漏洞，攻擊者可利用這些漏洞控制任意用戶的PayPal賬戶。

[[123804]]

科普：關(guān)于跨站請(qǐng)求偽造(CSRF)

跨站請(qǐng)求偽造(CSRF或者叫做XSRF)是攻擊網(wǎng)站的一種方法：攻擊者首先需要誘騙受害者訪問(wèn)特定的HTML網(wǎng)頁(yè)，然后即能偽造受害者身份向存在漏洞的網(wǎng)站發(fā)送攻擊請(qǐng)求。

攻擊流程

埃及的安全研究員Yasser H. Ali在PayPal網(wǎng)站上發(fā)現(xiàn)了三個(gè)高危漏洞，分別是：CSRF(跨站請(qǐng)求偽造)漏洞、繞過(guò)身份驗(yàn)證令牌漏洞和重置安全驗(yàn)證問(wèn)題漏洞。

Yasser在下文的視頻中詳細(xì)的演示了怎樣利用這3個(gè)漏洞組合攻擊受害者：攻擊者通過(guò)CSRF漏洞秘密的把自己的郵箱ID關(guān)聯(lián)到了受害者賬戶上，重置了受害者賬戶上安全驗(yàn)證問(wèn)題的答案，最終通過(guò)“忘記密碼”控制受害者的PayPal賬戶。

PayPal通常會(huì)使用身份驗(yàn)證令牌檢測(cè)來(lái)自合法賬戶的正常請(qǐng)求，但是Yasser成功的繞過(guò)了Paypal的防護(hù)并且執(zhí)行了漏洞利用(exploit)代碼。

一旦成功執(zhí)行了漏洞利用代碼，攻擊者的郵件ID就會(huì)被添加到受害者的賬戶上，這樣一來(lái)攻擊者就可以點(diǎn)擊PayPal網(wǎng)站上的“忘記密碼”選項(xiàng)來(lái)重置賬戶密碼了。但此時(shí)如果攻擊者不能正確回答用戶注冊(cè)時(shí)設(shè)置的安全問(wèn)題，他還是不能改變用戶賬戶的原始密碼。

于是Yasser順藤查了下去，發(fā)現(xiàn)PayPal上還存在一個(gè)重置安全問(wèn)題和答案的漏洞，最終繞過(guò)PayPal安全保護(hù)而重新設(shè)置受害者賬戶的密碼。

目前PayPal安全小組已緊急修復(fù)了這些漏洞。

演示視頻

視頻源地址：https://www.youtube.com/watch?v=KoFFayw58ZQ