最近，Cybernews 分析人員稱，他們發現了和 PayPal 相關的 6 個高危漏洞，攻擊者利用這些漏洞可以實現：繞過 PayPal 登錄后的雙因素認證（2FA）、使用其內部智能聊天系統發送惡意代碼。然而就在上報了這些漏洞后，Cybernews 遇到了無休止拖延、無人回應、含糊響應和不被重視的情形。以下是 Cybernews 就發現的 6 個漏洞進行的說明，拋開是非對錯，我們只來圍觀其技術姿勢就好。

　　漏洞1：登錄后的 PayPal 雙因素認證（2FA）繞過

　　在對 PayPal for Android (v. 7.16.1) 的安卓 APP 分析中，我們發現 PayPal 對用戶手機和郵箱的身份驗證存在登錄后的 2FA 認證漏洞。也就是說當攻擊者以其它方式獲取了受害者的密碼憑據實施登錄后，由于 PayPal 判定攻擊者使用的手機設備或 IP 地址與之前受害者的不同，從而會發起一個 2FA 方式的身份驗證，此時，PayPal 會通過短信或郵箱發送一個驗證碼給當前登錄的攻擊者，只有正確輸入該驗證碼，登錄才能繼續往下真正有效進入受害者賬戶。

　　PayPal 的 2FA 采用了 Authflow 方式，當用戶從新手機、新位置或新 IP 地址執行賬戶登錄時就會觸發 2FA 驗證。在漏洞測試過程中，我們用抓包攔截代理（Charles）觀察 PayPal APP 的具體網絡活動，經過一番研究，我們發現了一個提權 Token，可以用它來繞過上述登錄后的 2FA 認證。（由于漏洞目前尚未修復，在此不作過多細節描述）

　　關于該漏洞我們的關注點是：目前黑市中存在大量 PayPal 用戶密碼憑據信息泄露，如果惡意攻擊者買下這些信息，然后配合上述我們發現的漏洞，就能輕松繞過 PayPal 登錄后的 2FA 認證，進入受害者賬戶，對廣大 PayPal 用戶的賬戶安全形成威脅。但是，PayPal 卻不這么認為，他們在回復郵件中稱”這種形為不會導致任何安全問題“（there does not appear to be any security implications as a direct result of this behavior）。

　　漏洞2：未對手機驗證方式實施動態口令

　　我們分析發現，在 PayPal 新推出的一個應用系統中，它會檢查注冊手機號碼是否為當前用戶賬戶所持有，如果不是，則會拒絕進一步的登錄。在該系統中，當用戶用手機號碼進行賬戶注冊時，會向 PayPal 后端服務器 api-m.paypal.com 執行一個預錄式呼叫或短信請求以進行用戶狀態確認。這里存在的問題是，我們可以更改其中的預錄式呼叫確認方式，實現對用戶注冊綁定手機號碼的更改。危害是由于可以不通過短信驗證碼，很多騙子可以利用該漏洞，繞過電話身份驗證，創建欺詐賬戶。

我們上報漏洞后，剛開始 PayPal 的安全團隊還是比較重視的，但是經過幾次溝通交流，他們干脆就不回復了。現在的情況是，PayPal 直接把該漏洞報告關閉了。

　　漏洞3：轉賬安全措施可繞過

　　為了避免欺詐和其它惡意行為，PayPal 在應用中內置了很多保護用戶錢款的轉賬防護措施，來針對以下用戶錢款操作：

使用一個新的電子設備進行登錄轉賬；

從一個新的地理位置或 IP 地址實行轉賬；

改變你通常的轉賬模式；

你當前的轉賬賬戶剛注冊不久。

　　當以上述一種或幾種行為發生時，PayPal 在觸發轉賬防護措施過程中，會拋出一些錯誤，其中包括：

你需要鏈接到其它新的支付方式實現轉賬（You’ll need to link a new payment method to send the money）

你的轉賬操作被拒絕，稍后請重新嘗試（Your payment was denied, please try again later）

　　我們分析發現，上述的轉賬錯誤可以被枚舉，如果與漏洞1（登錄后的 PayPal 雙因素認證（2FA）繞過）配合利用，就可以繞過轉賬安全防護措施，登錄一些受害者賬戶，實現錢款操作。而當我們提交了該漏洞之后，PayPal 卻聲稱，由于這需要與其它漏洞配合才能產生實際威脅，因此不屬眾測范圍之內。

　　漏洞4：用戶賬戶命名可更改

　　默認來說，針對用戶名更改，PayPal 只允許用戶一次更改其中的1-2 個字母，之后就不能再更改了。但是，我們發現，在當前 PayPal.com 網站應用中，我們可以更改完整的用戶名，比如下面的從“Tester IAmTester” 更改為“christin christina”

我們通過攔截用戶名更改請求，每次替換其中的1-2 個字母，可以無需任何驗證就可實現完整的用戶名更改，甚至可以在用戶名字段中加入表情標志等 unicode 符號。漏洞危害是，如果攻擊者可進行任意的用戶名更改，那么會與，如果與漏洞1（登錄后的 PayPal 雙因素認證（2FA）繞過）配合利用，可劫持其他重名 PayPal。漏洞提交后，PayPal 回應稱該漏洞已有其他白帽上報過，屬于重復報。

　　漏洞5：自助聊天系統存儲型 XSS 漏洞

　　在 PayPal 的自助聊天系統 SmartChat 中，用戶可以找到一些通常問題的答案，我們研究發現 SmartChat 對用戶輸入缺乏驗證，可以在聊天框中提交一些程序腳本，導致可以解析出程序按鈕或框架。

　　我們可以用中間人攻擊 MITM 代理對上述網絡流量進行抓包攔截，在其中附加進惡意構造的 Payload，深入攻擊可獲取受害者賬戶信息。PayPal 對該漏洞的回應是，這不是一個外部可利用的漏洞，所以不算安全問題，最后漏洞分類為“不適用”（Not Applicable）。

　　漏洞6：安全問題輸入中存在持久型 XSS

　　該漏洞與漏洞 5 類似，原因在于 PayPal 未對安全問題的用戶輸入答案實施過濾，導致存在 XSS，我們可以使用 MITM 代理對其抓包構造，實現 XSS 觸發。下圖為我們向其中注入了大量可點擊的鏈接：

　　漏洞危害是，攻擊者可以在其中嵌入以下鏈接：

提示“Download the new PayPal app” 的惡意 APP 下載鏈接；

更改轉賬收款人的郵箱地址；

對受害者進行鍵盤記錄監聽收集***信息。

　　PayPal 對該漏洞的回應稱已有其他安全人員提交過該漏洞，而就在同一天，PayPal 對該漏洞進行了修復。

　　Cybernews 認為的觀點

　　Cybernews 闡述攻擊者的以下攻擊場景為：

在黑市買到包含 PayPal 賬戶密碼憑據的信息，比如這里能以$150 美金買到一個價值$5,000 的 PayPal 賬戶；

使用漏洞 1 繞過 PayPal 的登錄后 2FA 認證；

使用漏洞 3 繞過轉賬安全措施，可以從賬戶綁定的***實施轉賬

攻擊者還可以使用漏洞 1 繞過登錄后 2FA 認證，再使用漏洞 4 更改其賬戶持有者的 PayPal 用戶名。

　　對于攻擊者和騙子來說，他們會有更多的動機和方式來對這些漏洞進行利用，然而但對 PayPal 本身來說，他們卻認為這些都不是問題。

　　*參考來源：cybernews，clouds 編譯整理，轉載請注明來自 FreeBuf.COM

總結

以上是生活随笔為你收集整理的挖洞经验 | 不被PayPal待见的6个安全漏洞的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。