最近，Cybernews 分析人員稱，他們發(fā)現(xiàn)了和 PayPal 相關的 6 個高危漏洞，攻擊者利用這些漏洞可以實現(xiàn)：繞過 PayPal 登錄后的雙因素認證（2FA）、使用其內部智能聊天系統(tǒng)發(fā)送惡意代碼。然而就在上報了這些漏洞后，Cybernews 遇到了無休止拖延、無人回應、含糊響應和不被重視的情形。以下是 Cybernews 就發(fā)現(xiàn)的 6 個漏洞進行的說明，拋開是非對錯，我們只來圍觀其技術姿勢就好。

　　漏洞1：登錄后的 PayPal 雙因素認證（2FA）繞過

　　在對 PayPal for Android (v. 7.16.1) 的安卓 APP 分析中，我們發(fā)現(xiàn) PayPal 對用戶手機和郵箱的身份驗證存在登錄后的 2FA 認證漏洞。也就是說當攻擊者以其它方式獲取了受害者的密碼憑據(jù)實施登錄后，由于 PayPal 判定攻擊者使用的手機設備或 IP 地址與之前受害者的不同，從而會發(fā)起一個 2FA 方式的身份驗證，此時，PayPal 會通過短信或郵箱發(fā)送一個驗證碼給當前登錄的攻擊者，只有正確輸入該驗證碼，登錄才能繼續(xù)往下真正有效進入受害者賬戶。

　　PayPal 的 2FA 采用了 Authflow 方式，當用戶從新手機、新位置或新 IP 地址執(zhí)行賬戶登錄時就會觸發(fā) 2FA 驗證。在漏洞測試過程中，我們用抓包攔截代理（Charles）觀察 PayPal APP 的具體網(wǎng)絡活動，經(jīng)過一番研究，我們發(fā)現(xiàn)了一個提權 Token，可以用它來繞過上述登錄后的 2FA 認證。（由于漏洞目前尚未修復，在此不作過多細節(jié)描述）

　　關于該漏洞我們的關注點是：目前黑市中存在大量 PayPal 用戶密碼憑據(jù)信息泄露，如果惡意攻擊者買下這些信息，然后配合上述我們發(fā)現(xiàn)的漏洞，就能輕松繞過 PayPal 登錄后的 2FA 認證，進入受害者賬戶，對廣大 PayPal 用戶的賬戶安全形成威脅。但是，PayPal 卻不這么認為，他們在回復郵件中稱”這種形為不會導致任何安全問題“（there does not appear to be any security implications as a direct result of this behavior）。

　　漏洞2：未對手機驗證方式實施動態(tài)口令

　　我們分析發(fā)現(xiàn)，在 PayPal 新推出的一個應用系統(tǒng)中，它會檢查注冊手機號碼是否為當前用戶賬戶所持有，如果不是，則會拒絕進一步的登錄。在該系統(tǒng)中，當用戶用手機號碼進行賬戶注冊時，會向 PayPal 后端服務器 api-m.paypal.com 執(zhí)行一個預錄式呼叫或短信請求以進行用戶狀態(tài)確認。這里存在的問題是，我們可以更改其中的預錄式呼叫確認方式，實現(xiàn)對用戶注冊綁定手機號碼的更改。危害是由于可以不通過短信驗證碼，很多騙子可以利用該漏洞，繞過電話身份驗證，創(chuàng)建欺詐賬戶。

我們上報漏洞后，剛開始 PayPal 的安全團隊還是比較重視的，但是經(jīng)過幾次溝通交流，他們干脆就不回復了。現(xiàn)在的情況是，PayPal 直接把該漏洞報告關閉了。

　　漏洞3：轉賬安全措施可繞過

　　為了避免欺詐和其它惡意行為，PayPal 在應用中內置了很多保護用戶錢款的轉賬防護措施，來針對以下用戶錢款操作：

使用一個新的電子設備進行登錄轉賬；

從一個新的地理位置或 IP 地址實行轉賬；

改變你通常的轉賬模式；

你當前的轉賬賬戶剛注冊不久。

　　當以上述一種或幾種行為發(fā)生時，PayPal 在觸發(fā)轉賬防護措施過程中，會拋出一些錯誤，其中包括：

你需要鏈接到其它新的支付方式實現(xiàn)轉賬（You’ll need to link a new payment method to send the money）

你的轉賬操作被拒絕，稍后請重新嘗試（Your payment was denied, please try again later）

　　我們分析發(fā)現(xiàn)，上述的轉賬錯誤可以被枚舉，如果與漏洞1（登錄后的 PayPal 雙因素認證（2FA）繞過）配合利用，就可以繞過轉賬安全防護措施，登錄一些受害者賬戶，實現(xiàn)錢款操作。而當我們提交了該漏洞之后，PayPal 卻聲稱，由于這需要與其它漏洞配合才能產生實際威脅，因此不屬眾測范圍之內。

　　漏洞4：用戶賬戶命名可更改

　　默認來說，針對用戶名更改，PayPal 只允許用戶一次更改其中的1-2 個字母，之后就不能再更改了。但是，我們發(fā)現(xiàn)，在當前 PayPal.com 網(wǎng)站應用中，我們可以更改完整的用戶名，比如下面的從“Tester IAmTester” 更改為“christin christina”

我們通過攔截用戶名更改請求，每次替換其中的1-2 個字母，可以無需任何驗證就可實現(xiàn)完整的用戶名更改，甚至可以在用戶名字段中加入表情標志等 unicode 符號。漏洞危害是，如果攻擊者可進行任意的用戶名更改，那么會與，如果與漏洞1（登錄后的 PayPal 雙因素認證（2FA）繞過）配合利用，可劫持其他重名 PayPal。漏洞提交后，PayPal 回應稱該漏洞已有其他白帽上報過，屬于重復報。

　　漏洞5：自助聊天系統(tǒng)存儲型 XSS 漏洞

　　在 PayPal 的自助聊天系統(tǒng) SmartChat 中，用戶可以找到一些通常問題的答案，我們研究發(fā)現(xiàn) SmartChat 對用戶輸入缺乏驗證，可以在聊天框中提交一些程序腳本，導致可以解析出程序按鈕或框架。

　　我們可以用中間人攻擊 MITM 代理對上述網(wǎng)絡流量進行抓包攔截，在其中附加進惡意構造的 Payload，深入攻擊可獲取受害者賬戶信息。PayPal 對該漏洞的回應是，這不是一個外部可利用的漏洞，所以不算安全問題，最后漏洞分類為“不適用”（Not Applicable）。

　　漏洞6：安全問題輸入中存在持久型 XSS

　　該漏洞與漏洞 5 類似，原因在于 PayPal 未對安全問題的用戶輸入答案實施過濾，導致存在 XSS，我們可以使用 MITM 代理對其抓包構造，實現(xiàn) XSS 觸發(fā)。下圖為我們向其中注入了大量可點擊的鏈接：

　　漏洞危害是，攻擊者可以在其中嵌入以下鏈接：

提示“Download the new PayPal app” 的惡意 APP 下載鏈接；

更改轉賬收款人的郵箱地址；

對受害者進行鍵盤記錄監(jiān)聽收集***信息。

　　PayPal 對該漏洞的回應稱已有其他安全人員提交過該漏洞，而就在同一天，PayPal 對該漏洞進行了修復。

　　Cybernews 認為的觀點

　　Cybernews 闡述攻擊者的以下攻擊場景為：

在黑市買到包含 PayPal 賬戶密碼憑據(jù)的信息，比如這里能以$150 美金買到一個價值$5,000 的 PayPal 賬戶；

使用漏洞 1 繞過 PayPal 的登錄后 2FA 認證；

使用漏洞 3 繞過轉賬安全措施，可以從賬戶綁定的***實施轉賬

攻擊者還可以使用漏洞 1 繞過登錄后 2FA 認證，再使用漏洞 4 更改其賬戶持有者的 PayPal 用戶名。

　　對于攻擊者和騙子來說，他們會有更多的動機和方式來對這些漏洞進行利用，然而但對 PayPal 本身來說，他們卻認為這些都不是問題。

　　*參考來源：cybernews，clouds 編譯整理，轉載請注明來自 FreeBuf.COM

總結

以上是生活随笔為你收集整理的挖洞经验 | 不被PayPal待见的6个安全漏洞的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內容還不錯，歡迎將生活随笔推薦給好友。