支付巨头PayPal曝大漏洞,黑客可直接窃取用户资金
· 2022-05-27

昵称为h4x0r_dz的安全研究人员在支付巨头PayPal的汇款服务中发现了一个未修补的大漏洞,可允许攻击者窃取用户账户中的资金。

据The Hacker News消息,昵称为h4x0r_dz的安全研究人员在支付巨头PayPal的汇款服务中发现了一个未修补的大漏洞,可允许攻击者窃取用户账户中的资金。其攻击原理是利用点击劫持技术诱导用户进行点击,在不知不觉中完成交易,最终达到窃取资金的目的。


所谓点击劫持技术,指的是不知情的用户被诱骗点击看似无害的网页元素(如按钮),目的是下载恶意软件、重定向到恶意网站或泄露敏感信息。


而在PayPal的漏洞中,这个技术被用来完成交易。黑客利用了不可见的覆盖页面或显示在可见页面顶部的HTML元素。在点击合法页面时,用户实际上是在点击由攻击者控制的覆盖合法内容的恶意元素。


2021年10月,h4x0r_dz向PayPal报告了这一漏洞,证明攻击者可以通过利用Clickjacking窃取用户的资金。


h4x0r_dz是在专为计费协议设计的www.paypal[.]com/agreements/approve端点上发现了该漏洞。他表示,“按照逻辑,这个端点应只接受billingAgreementToken,但在深入测试后发现并非如此,我们可以通过另一种令牌类型完成,这让攻击者有机会从受害者的PayPal账户中窃取资金。”


这意味着攻击者可以将上述端点嵌入到iframe中,如下图所示,此时已经登录Web浏览器的受害者点击页面的任何地方,就会自动向攻击者所控制的PayPal帐户付款。



更令人担忧的是,这次攻击可能会对和PayPal集成进行结账的在线门户网站造成灾难性后果,从而使攻击者能够从用户的PayPal账户中扣除任意金额。


h4x0r_dz在社交平台上发布的帖子写到,“有一些在线服务可以让你使用PayPal将余额添加到你的帐户中,我可以使用相同的漏洞并强迫用户向我的帐户充值,或者我可以利用此漏洞让受害者为我创建/支付Netflix帐户。”


目前,有安全专家表示,该漏洞尚未完成修复工作,用户应保持足够的警惕

热门文章
英国确认各垂直行业的赌博税税率
游戏风向
超级PAC筹资4800万美元:体育博彩势力加码
游戏风向
BETFAIR 网络攻击80万用户资料泄露
游戏风向
斯里兰卡博弈产业大转型,官方:剑指南亚拉斯维加斯
游戏风向
2027 Global Game Connect(GGC)斯里兰卡招商全面开启!业务人脉尽在掌握!
灰度头条
越南在线博彩业政策收紧 催生市场新机遇
东南亚资讯
巴西颁布新法赋权央行封锁非法博彩账户及 Pix 交易
支付动态
哈萨克斯坦计划对在线赌场促销活动进行处罚
游戏风向
越南博彩管控逐步放宽,惟本土需求仍显乏力
东南亚资讯
印度最高法院受理公益诉讼,要求全国禁封“伪装”成社交游戏的赌博平台
游戏风向
JILI 宣布与全球板球传奇 AB de Villiers(ABD)达成重磅战略合作
体育游戏
密西西比州众议院委员会推进提议增加赌场税的法案
游戏风向
亚洲顶尖游戏供应商多寶游戏 DB GAMING,开创亚洲市场的唯一首选
广告营销
亚洲游戏市场观察:15大市场热门游戏与用户趋势
线上游戏
准备好了将你的收益最大化吗?尝试ProPush.me Constructor!
广告营销
首页
游戏
合作
发现
我的