挖洞经验 | 不被PayPal待见的6个安全漏洞

栏目: IT技术 · 发布时间: 4年前

内容简介:最近,Cybernews分析人员称,他们发现了和PayPal相关的6个高危漏洞,攻击者利用这些漏洞可以实现:绕过PayPal登录后的双因素认证(2FA)、使用其内部智能聊天系统发送恶意代码。然而就在上报了这些漏洞后,Cybernews遇到了无休止拖延、无人回应、含糊响应和不被重视的情形。以下是Cybernews就发现的6个漏洞进行的说明,抛开是非对错,我们只来围观其技术姿势就好。在对 PayPal for Android (v. 7.16.1)的安卓APP分析中,我们发现PayPal对用户手机和邮箱的身份验

最近,Cybernews分析人员称,他们发现了和PayPal相关的6个高危漏洞,攻击者利用这些漏洞可以实现:绕过PayPal登录后的双因素认证(2FA)、使用其内部智能聊天系统发送恶意代码。然而就在上报了这些漏洞后,Cybernews遇到了无休止拖延、无人回应、含糊响应和不被重视的情形。以下是Cybernews就发现的6个漏洞进行的说明,抛开是非对错,我们只来围观其技术姿势就好。

漏洞1:登录后的PayPal双因素认证(2FA)绕过

在对 PayPal for Android (v. 7.16.1)的安卓APP分析中,我们发现PayPal对用户手机和邮箱的身份验证存在登录后的2FA认证漏洞。也就是说当攻击者以其它方式获取了受害者的密码凭据实施登录后,由于PayPal判定攻击者使用的手机设备或IP地址与之前受害者的不同,从而会发起一个2FA方式的身份验证,此时,PayPal会通过短信或邮箱发送一个验证码给当前登录的攻击者,只有正确输入该验证码,登录才能继续往下真正有效进入受害者账户。

挖洞经验 | 不被PayPal待见的6个安全漏洞 PayPal的2FA采用了Authflow方式,当用户从新手机、新位置或新IP地址执行账户登录时就会触发2FA验证。在漏洞测试过程中,我们用抓包拦截代理(Charles)观察PayPal APP的具体网络活动,经过一番研究,我们发现了一个提权Token,可以用它来绕过上述登录后的2FA认证。(由于漏洞目前尚未修复,在此不作过多细节描述)

挖洞经验 | 不被PayPal待见的6个安全漏洞 关于该漏洞我们的关注点是:目前黑市中存在大量PayPal用户密码凭据信息泄露,如果恶意攻击者买下这些信息,然后配合上述我们发现的漏洞,就能轻松绕过PayPal登录后的2FA认证,进入受害者账户,对广大PayPal用户的账户安全形成威胁。但是,PayPal却不这么认为,他们在回复邮件中称”这种形为不会导致任何安全问题“(there does not appear to be any security implications as a direct result of this behavior)。

挖洞经验 | 不被PayPal待见的6个安全漏洞

漏洞2:未对手机验证方式实施动态口令

我们分析发现,在PayPal新推出的一个应用系统中,它会检查注册手机号码是否为当前用户账户所持有,如果不是,则会拒绝进一步的登录。在该系统中,当用户用手机号码进行账户注册时,会向PayPal后端服务器api-m.paypal.com执行一个预录式呼叫或短信请求以进行用户状态确认。这里存在的问题是,我们可以更改其中的预录式呼叫确认方式,实现对用户注册绑定手机号码的更改。危害是由于可以不通过短信验证码,很多骗子可以利用该漏洞,绕过电话身份验证,创建欺诈账户。

挖洞经验 | 不被PayPal待见的6个安全漏洞 我们上报漏洞后,刚开始PayPal的安全团队还是比较重视的,但是经过几次沟通交流,他们干脆就不回复了。现在的情况是,PayPal直接把该漏洞报告关闭了。

挖洞经验 | 不被PayPal待见的6个安全漏洞

漏洞3:转账安全措施可绕过

为了避免欺诈和其它恶意行为,PayPal在应用中内置了很多保护用户钱款的转账防护措施,来针对以下用户钱款操作:

使用一个新的电子设备进行登录转账;

从一个新的地理位置或IP地址实行转账;

改变你通常的转账模式;

你当前的转账账户刚注册不久。

当以上述一种或几种行为发生时,PayPal在触发转账防护措施过程中,会抛出一些错误,其中包括:

你需要链接到其它新的支付方式实现转账(You’ll need to link a new payment method to send the money)

你的转账操作被拒绝,稍后请重新尝试(Your payment was denied, please try again later)

我们分析发现,上述的转账错误可以被枚举,如果与漏洞1(登录后的PayPal双因素认证(2FA)绕过)配合利用,就可以绕过转账安全防护措施,登录一些受害者账户,实现钱款操作。而当我们提交了该漏洞之后,PayPal却声称,由于这需要与其它漏洞配合才能产生实际威胁,因此不属众测范围之内。

漏洞4:用户账户命名可更改

默认来说,针对用户名更改,PayPal只允许用户一次更改其中的1-2个字母,之后就不能再更改了。但是,我们发现,在当前PayPal.com网站应用中,我们可以更改完整的用户名,比如下面的从“Tester IAmTester” 更改为“christin christina”

挖洞经验 | 不被PayPal待见的6个安全漏洞 我们通过拦截用户名更改请求,每次替换其中的1-2个字母,可以无需任何验证就可实现完整的用户名更改,甚至可以在用户名字段中加入表情标志等unicode符号。漏洞危害是,如果攻击者可进行任意的用户名更改,那么会与,如果与漏洞1(登录后的PayPal双因素认证(2FA)绕过)配合利用,可劫持其他重名PayPal。漏洞提交后,PayPal回应称该漏洞已有其他白帽上报过,属于重复报。

漏洞5:自助聊天系统存储型XSS漏洞

在PayPal的自助聊天系统SmartChat中,用户可以找到一些通常问题的答案,我们研究发现SmartChat对用户输入缺乏验证,可以在聊天框中提交一些程序脚本,导致可以解析出程序按钮或框架。

挖洞经验 | 不被PayPal待见的6个安全漏洞

我们可以用中间人攻击MITM代理对上述网络流量进行抓包拦截,在其中附加进恶意构造的Payload,深入攻击可获取受害者账户信息。PayPal对该漏洞的回应是,这不是一个外部可利用的漏洞,所以不算安全问题,最后漏洞分类为“不适用”(Not Applicable)。

漏洞6:安全问题输入中存在持久型XSS

该漏洞与漏洞5类似,原因在于PayPal未对安全问题的用户输入答案实施过滤,导致存在XSS,我们可以使用MITM代理对其抓包构造,实现XSS触发。下图为我们向其中注入了大量可点击的链接:

挖洞经验 | 不被PayPal待见的6个安全漏洞

漏洞危害是,攻击者可以在其中嵌入以下链接:

提示“Download the new PayPal app” 的恶意APP下载链接;

更改转账收款人的邮箱地址;

对受害者进行键盘记录监听收集***信息。

PayPal对该漏洞的回应称已有其他安全人员提交过该漏洞,而就在同一天,PayPal对该漏洞进行了修复。

Cybernews认为的观点

Cybernews阐述攻击者的以下攻击场景为:

在黑市买到包含PayPal账户密码凭据的信息,比如 这里能以$150美金买到一个价值$5,000的PayPal账户

使用漏洞1绕过PayPal的登录后2FA认证;

使用漏洞3绕过转账安全措施,可以从账户绑定的***实施转账

攻击者还可以使用漏洞1绕过登录后2FA认证,再使用漏洞4更改其账户持有者的PayPal用户名。

对于攻击者和骗子来说,他们会有更多的动机和方式来对这些漏洞进行利用,然而但对PayPal本身来说,他们却认为这些都不是问题。

*参考来源: cybernews ,clouds 编译整理,转载请注明来自 FreeBuf.COM


以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

Host Your Web Site In The Cloud

Host Your Web Site In The Cloud

Jeff Barr / SitePoint / 2010-9-28 / USD 39.95

Host Your Web Site On The Cloud is the OFFICIAL step-by-step guide to this revolutionary approach to hosting and managing your websites and applications, authored by Amazon's very own Jeffrey Barr. "H......一起来看看 《Host Your Web Site In The Cloud》 这本书的介绍吧!

HTML 编码/解码
HTML 编码/解码

HTML 编码/解码

XML、JSON 在线转换
XML、JSON 在线转换

在线XML、JSON转换工具