一个高度严重的贝宝安全漏洞能够使用户的密码暴露给黑客
PayPal拥有超过2.86亿活跃帐户,是迄今为止全球最大,最受欢迎的支付处理商。它之所以获得此称号,不仅是因为它提供了可靠且易于使用的服务,还因为其开发人员和软件工程师已经实现了许多安全功能,这些功能使用户在处理在线支付时放心。具有讽刺意味的是,这些安全功能之一存在一个漏洞,该漏洞能够使用户遭受帐户接管攻击。
Table of Contents
安全专家发现严重的PayPal漏洞
该漏洞是由罗马尼亚信息安全顾问兼软件工程师Alex Birsan发现的,他还花时间寻找bug。当他注意到一个包含跨站请求伪造(CSRF)令牌和会话ID的JavaScript文件时,他正在浏览PayPal的登录过程。伯桑很感兴趣。
他在公开披露中提到,将此类数据保留在JS文件中可能会将其暴露给黑客。果然,他使用一种称为跨站点脚本包含(XSSI)的技术,整理了一个场景,在这种情况下,攻击者将能够从被诱骗过访问恶意软件的用户那里窃取CSRF令牌和会话ID。页。
最初,Alex Birsan认为这是一个可怕的消息。他认为令牌和会话ID足以模拟用户。然而,在无数次尝试接管自己的帐户后,他意识到成功的进攻将需要更多的工作。然而,他继续前进。
该漏洞隐藏在旨在阻止暴力攻击的安全功能中
经过更多调查,Birsan发现PayPal的CAPTCHA机制实际上使用了CSRF令牌和会话ID。 CAPTCHA代表完全自动化的公共Turing测试,可以告诉计算机和人类分开,它是抵御暴力攻击的最简单保护形式之一。
与许多其他在线服务不同,贝宝(PayPal)已决定在主登录表单下方不包括CAPTCHA挑战。相反,它会在预设的登录尝试失败次数后显示在空白页上。一旦用户成功解决了CAPTCHA挑战,就会将HTTP POST请求发送到PayPal,除了上述CSRF令牌和会话ID外,PayPal还包含用户在最近一次登录尝试期间以纯文本格式输入的用户名和密码。过了一会儿,Alex Birsan准备好了概念验证。
攻击者首先将使用XSSI提取对用户浏览器有效的CSRF令牌和会话ID。然后,他们将使用随机凭据进行一些登录尝试,这将触发验证码挑战。当用户使用相同的浏览器登录其帐户时,有效的凭据将覆盖随机的用户名和密码。然后,攻击者所需要的就是另一个CAPTCHA令牌(可以使用CAPTCHA解决方案服务相对容易地检索该令牌),以纯文本形式显示目标的登录数据。
贝宝迅速采取行动修补此漏洞
如您所见,找到一种方法来利用该bug并不是在公园里散步。但是,概念验证攻击表明,如果不加以注意,该漏洞可能会给某些人造成严重的财务损失,这就是为什么当Birsan通过HackerOne平台上的PayPal漏洞悬赏计划提交报告时,他给予了很高的评价。 CVSS分数。
第一份报告于11月18日发送,经过18天,HackerOne最终证实了Birsan的发现。贝宝(PayPal)承认了这个问题,并同意这是非常严重的。 12月10日,Birsan被授予了超过$ 15,300的赏金(这笔钱仅用于奖励高严重度的错误),而仅仅24小时后,该漏洞已得到修补。伯桑(Birsan)将贝宝(PayPal)解决问题的速度描述为“令人印象深刻”,这种赞誉如今已很少出现。