更新:安全已插入。 PayPal通过其Bug Bounty计划支付了奖励。

“通过PayPal Bug Bounty计划,我们的安全研究人员最近让我们了解绕过PayPal的跨站点请求伪造(CSRF)保护授权系统的方法在登录PayPal.com时,”PayPal发言人告诉VidtureBeat。“这种类型的保护可帮助客户避免犯罪分子攻击,他们可以在您的帐户进行更改。我们的团队很快努力解决这种漏洞,我们已经修复了这个问题。没有证据表明任何客户受到影响。我们非常感谢安全社区,以便他们对BUG赏金计划的贡献,并帮助我们让客户的信息安全。“

原始故事如下。

安全研究员Yasser Ali公开披露PayPal网站的漏洞。阿里声称他能够在有针对性的攻击中劫持任何人的账户。

这里的“目标攻击”部分是重要的:即使阿里的发现完全按照他描述的工作,攻击者仍然需要一些初始信息,最批判性地用于给定PayPal登录的电子邮件地址,以及引诱受害者的方式点击恶意链接。有了这两个关键作品,任何人都可能完全控制PayPal账户。

根据ALI的说法,攻击者可以在PayPal帐户中执行以下操作:

ALI创建了一个概念验证视频,显示了他的漏洞,用于演示关于测试Python服务器的攻击:

该漏洞是跨站点请求伪造(CSRF)类型。安全漏洞在“Auth”令牌中,负责验证用户所做的每一个请求。虽然它与用户所做的每个请求都发生了变化,但Ali发现它是可重复使用的,对于该特定的用户电子邮件地址或用户名是可重复使用的,这意味着攻击者可以使用它代表任何登录用户进行操作。

对于上下文,CSRF是一种恶意利用类型,由此来自给定网站已经信任的用户发送未经授权的命令。如果攻击者设法说服受害者点击特制的漏洞利用链接,可以代表弱势网站向弱势网站进行。

攻击者可以提供电子邮件地址和任何密码,以捕获发送资金的PayPal请求,并且该请求将包含有效的“auth”令牌。由于此令牌是可重用的,因此攻击者可以授权请求。

接下来,Ali发现了一个漏洞,让攻击者获取对所有用户有效的“验证”令牌。这可以通过从登录过程之前拦截提供“auth”令牌的页面的POST请求来完成:paypal.com/eg/cgi-bin/webscr?cmd=_send-money。

这意味着攻击者可以代表目标用户进行几乎任何要求。但是,攻击者不能在不接听用户设置的安全问题的情况下更改受害者的密码,因为用户本身在不首先输入密码的情况下无法更改安全问题。

据称,在第一个位置设置安全问题,该请求由用户在注册PayPal时发起的安全问题,而是受密码保护。因此,Ali表示可以重用此过程以在不提供密码的情况下重置安全问题。因此,攻击者可以改变受害者的安全问题。那时,任何事情都会发生。

我们已联系PayPal关于此指称的漏洞。我们会在听到后面的时候更新本文。