专家Ebrahim Hegazy 在Paypal上发现一个关键的存储型xss漏洞,该漏洞可以以明文的格式窃取用户信用卡信息。 著名安全专家Ebrahim Hegazy(@Zigoo0) 在“https://Securepayments.Paypal.com”上发现了一个存储型XSS漏洞,可以被攻击者用来窃取信用卡和Paypal用户登录凭证…和更多邪恶的用法! SecurePayments域经常被Paypal用户用来在任何购物网站购买物品时做安全支付验证。这个安全的支付页面需要Paypal用户来填写某些信息,包括他们的信用卡号码,CVV2,截止日期。如果要使用Paypal来完成支付和购买所选产品,这些信息是必要的。Paypal通过加密通道(HTTPS)处理提交的数据,攻击者不能嗅探/偷取这样的数据。 “我发现这个存储型XSS漏洞会直接影响SecurePayment页面,然后允许我改变页面的HTML框架和重写页面内容,攻击者可以让用户使用自己伪造的HTML表单来完成和发送用户数据(以明文的方式发送到攻击者的服务器),然后使用这些信息来购买物品或者甚至可以让被害用户的基金转移到自己的帐户!”专家在一篇博客文章中写道。
有哪些攻击场景? Ebrahim博士解释说,最严重的攻击场景是: 攻击者设置一个购物网站或入侵任何购物网站, 通过Paypal的漏洞修改“CheckOut”按钮,CheckOut用户恶意浏览购物网站,选择一些产品,点击“付款”按钮用Paypal账户来支付,然后用户会被重定向到https://Securepayments.Paypal.com/来填写所需的信用卡信息完成采购订单, 在这个页面上,该产品的价格和支付按钮都将在同一个页面里面,因为我们知道攻击者现在控制这一页! 当Paypal用户点击提交按钮时,并不是支付显示的“100美元”,而是你将支付攻击者决定的价格! !
|