[[175454]]

雙因子認(rèn)證(2FA)是指結(jié)合密碼以及實(shí)物(信用卡、SMS手機(jī)、令牌或指紋等生物標(biāo)志)兩種條件對用戶進(jìn)行認(rèn)證的方法。這種方法已經(jīng)為企業(yè)所采用，主要用于增加賬戶的安全性，更好的保護(hù)用戶的賬戶安全。

與其他大多數(shù)網(wǎng)絡(luò)服務(wù)商一樣，PayPal也為用戶提供了雙重驗(yàn)證的選項(xiàng)。雙重驗(yàn)證的一個(gè)特點(diǎn)就是：在用戶嘗試使用用戶名和密碼登錄賬戶時(shí)，服務(wù)器會向用戶發(fā)送一次性的短信驗(yàn)證碼來驗(yàn)證手機(jī)。用戶需要有手機(jī)服務(wù)才能接收到服務(wù)器發(fā)送的驗(yàn)證碼。如果沒有手機(jī)信號，那他們就沒有辦法接收服務(wù)器發(fā)送的驗(yàn)證碼，換句話說，他們就不能通過標(biāo)準(zhǔn)的雙重驗(yàn)證模式登錄賬戶。

然而，英國安全研究專家Henry Hoggard還是發(fā)現(xiàn)了一個(gè)非常簡單的方法來繞過PayPal的雙重驗(yàn)證機(jī)制。繞過雙重驗(yàn)證機(jī)制后，黑客可以在一分鐘內(nèi)輕松掌控用戶的PayPal賬戶。

這個(gè)方法是Hoggard在一家沒有手機(jī)服務(wù)(就是我們說的沒有信號)的酒店內(nèi)偶然發(fā)現(xiàn)的。

Hoggard表示，問題出現(xiàn)在“嘗試其他方式”這個(gè)鏈接上。PayPal向帳戶所有者提供此選項(xiàng)，以便他們在手機(jī)沒有信號或設(shè)備不在身邊的情況下，依然可以使用自己的賬戶。當(dāng)出現(xiàn)手機(jī)無信號或者設(shè)備無法連接的情況時(shí)，PayPal便要求用戶回答密保問題。

Hoggard發(fā)現(xiàn)，如果攻擊者運(yùn)行一個(gè)代理服務(wù)器，就可以攔截和保存PayPal服務(wù)器的請求，這使得攻擊者能篡改HTTP數(shù)據(jù)并欺騙PayPal允許攻擊者進(jìn)入被黑賬戶。

另外，攻擊者需要從HTTP請求中刪除“securityQuestion0”和“securityQuestion1”參數(shù)。這種攻擊對攻擊者水平要求并不高，基本上屬于入門水平的攻擊。

具體步驟：

1.Hoggard登錄了他的PayPal賬戶并點(diǎn)擊了“try another way”，他收到了來自PayPal的詢問，是否允許PayPal發(fā)送一次性2SV驗(yàn)證碼給他。

2.Hoggard選擇回答密保問題，但他并沒有用自己設(shè)置的唯一密碼，而是在提供的文本框中隨便輸入了一個(gè)密碼。

3.在此，Hoggard利用代理，從POST數(shù)據(jù)中去掉了兩個(gè)密保問題。

selectOption=SECURITY_QUESTION&securityQuestion0=test&securityQuestion1=test&jsEnabled=1&execution=e2s1&_sms_ivr_continue_btn_label=Continue&_default_btn_lable=Continue&_eventId_continue=Continue 

4.然后，發(fā)布數(shù)據(jù)。令人詫異的是，賬戶居然通過驗(yàn)證了(小編眼睛被辣了，賠錢)。

這是一個(gè)真實(shí)的案例，并不是在說笑，雖然簡單，但非常有用。如果攻擊者掌握了受害者的PayPal用戶名和密碼，他們就可以繞過2SV并登錄受害者的賬戶。

由于這個(gè)漏洞具有很大的威脅，Hoggard在今年10月3日將此問題反饋給PayPal，經(jīng)過縝密的調(diào)查后，PayPal已經(jīng)在10月21日將該漏洞修復(fù)。

一般來說，針對各類web服務(wù)都應(yīng)該采用雙重認(rèn)證，以保證進(jìn)一步的安全性。除此之外， 他們還應(yīng)該有備選的認(rèn)證方案，這樣，就算在移動設(shè)備丟失的情況下，照常能夠訪問他們的帳戶。