设为首页收藏本站

安而遇随-随遇而安

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
安而遇随-随遇而安 首页 资讯 查看内容

信不信把你paypal的钱都偷了?

2015-8-28 14:25| 发布者: 随便、先森。| 查看: 1374| 评论: 0|来自: 360安全播报

摘要: 专家Ebrahim Hegazy 在Paypal上发现一个关键的存储型XSS漏洞,该漏洞可以以明文的格式窃取用户信用卡信息。著名安全专家Ebrahim Hegazy(@Zigoo0) 在“https://Securepayments.Paypal.com”上发现了一个存储型XSS漏洞, ...

http://p2.qhimg.com/t01bf1be23a96f2d291.jpg

 专家Ebrahim Hegazy 在Paypal上发现一个关键的存储型XSS漏洞,该漏洞可以以明文的格式窃取用户信用卡信息。

著名安全专家Ebrahim Hegazy(@Zigoo0) 在“https://Securepayments.Paypal.com”上发现了一个存储型XSS漏洞,可以被攻击者用来窃取信用卡和Paypal用户登录凭证…和更多邪恶的用法! SecurePayments域经常被Paypal用户用来在任何购物网站购买物品时做安全支付验证。这个安全的支付页面需要Paypal用户来填写某些信息,包括他们的信用卡号码,CVV2,截止日期。如果要使用Paypal来完成支付和购买所选产品,这些信息是必要的。Paypal通过加密通道(HTTPS)处理提交的数据,攻击者不能嗅探/偷取这样的数据。

“我发现这个存储型XSS漏洞会直接影响SecurePayment页面,然后允许我改变页面的HTML框架和重写页面内容,攻击者可以让用户使用自己伪造的HTML表单来完成和发送用户数据(以明文的方式发送到攻击者的服务器),然后使用这些信息来购买物品或者甚至可以让被害用户的基金转移到自己的帐户!”专家在一篇博客文章中写道。

http://p1.qhimg.com/t014db4b33c2d1dd6cf.png

有哪些攻击场景?

Ebrahim博士解释说,最严重的攻击场景是:

攻击者设置一个购物网站或入侵任何购物网站, 通过Paypal的漏洞修改“CheckOut”按钮,CheckOut用户恶意浏览购物网站,选择一些产品,点击“付款”按钮用Paypal账户来支付,然后用户会被重定向到https://Securepayments.Paypal.com/来填写所需的信用卡信息完成采购订单, 在这个页面上,该产品的价格和支付按钮都将在同一个页面里面,因为我们知道攻击者现在控制这一页!

当Paypal用户点击提交按钮时,并不是支付显示的“100美元”,而是你将支付攻击者决定的价格! !


原文链接:http://securityaffairs.co/wordpress/39606/hacking/paypal-critical-flaw.html


鲜花

握手

雷人

路过

鸡蛋

最新评论

  • 解决 Wn10无法连接 蓝牙耳
  • Python之Selenium知识总结
  • 2万字带你了解Selenium全攻
  • 解决网站网页不能复制,不
  • 我对ddos攻击的见解以及ufo
论坛精选
分享个ddos网页端反射攻击的API源码
分享个ddos网页端反
先上图 实测源码没问题 API服务器需要安装SSH2扩展库 其他的按照源码里的注释配置
NTP放大反射DDOS攻击扫描教程,放大列表扫描教程
NTP放大反射DDOS攻
NTP放大反射DDOS攻击扫描教程,放大列表扫描教程 图上是国外测的 本文实测 能有二三
返回顶部