一個高度嚴重的貝寶安全漏洞能夠使用戶的密碼暴露給黑客
PayPal擁有超過2.86億活躍帳戶,是迄今為止全球最大,最受歡迎的支付處理商。它之所以獲得此稱號,不僅是因為它提供了可靠且易於使用的服務,還因為其開發人員和軟件工程師已經實現了許多安全功能,這些功能使用戶在處理在線支付時放心。具有諷刺意味的是,這些安全功能之一存在一個漏洞,該漏洞能夠使用戶遭受帳戶接管攻擊。
Table of Contents
安全專家發現嚴重的PayPal漏洞
該漏洞是由羅馬尼亞信息安全顧問兼軟件工程師Alex Birsan發現的,他還花時間尋找bug。當他注意到一個包含跨站請求偽造(CSRF)令牌和會話ID的JavaScript文件時,他正在瀏覽PayPal的登錄過程。伯桑很感興趣。
他在公開披露中提到,將此類數據保留在JS文件中可能會將其暴露給黑客。果然,他使用一種稱為跨站點腳本包含(XSSI)的技術,整理了一個場景,在這種情況下,攻擊者將能夠從被誘騙過訪問惡意軟件的用戶那裡竊取CSRF令牌和會話ID。頁。
最初,Alex Birsan認為這是一個可怕的消息。他認為令牌和會話ID足以模擬用戶。然而,在無數次嘗試接管自己的帳戶後,他意識到成功的進攻將需要更多的工作。然而,他繼續前進。
該漏洞隱藏在旨在阻止暴力攻擊的安全功能中
經過更多調查,Birsan發現PayPal的CAPTCHA機制實際上使用了CSRF令牌和會話ID。 CAPTCHA代表完全自動化的公共Turing測試,可以告訴計算機和人類分開,它是抵禦暴力攻擊的最簡單保護形式之一。
與許多其他在線服務不同,貝寶(PayPal)已決定在主登錄表單下方不包括CAPTCHA挑戰。相反,它會在預設的登錄嘗試失敗次數後顯示在空白頁上。一旦用戶成功解決了CAPTCHA挑戰,就會將HTTP POST請求發送到PayPal,除了上述CSRF令牌和會話ID外,PayPal還包含用戶在最近一次登錄嘗試期間以純文本格式輸入的用戶名和密碼。過了一會兒,Alex Birsan準備好了概念驗證。
攻擊者首先將使用XSSI提取對用戶瀏覽器有效的CSRF令牌和會話ID。然後,他們將使用隨機憑據進行一些登錄嘗試,這將觸發驗證碼挑戰。當用戶使用相同的瀏覽器登錄其帳戶時,有效的憑據將覆蓋隨機的用戶名和密碼。然後,攻擊者所需要的就是另一個CAPTCHA令牌(可以使用CAPTCHA解決方案服務相對容易地檢索該令牌),以純文本形式顯示目標的登錄數據。
貝寶迅速採取行動修補此漏洞
如您所見,找到一種方法來利用該bug幾乎不是在公園散步。但是,概念驗證攻擊表明,如果不加以注意,該漏洞可能會給某些人造成嚴重的財務損失,這就是為什麼當Birsan通過HackerOne平台上的PayPal漏洞懸賞計劃提交報告時,他給予了很高的評價。 CVSS分數。
第一份報告於11月18日發送,經過18天,HackerOne最終證實了Birsan的發現。貝寶(PayPal)承認了這個問題,並同意這是非常嚴重的。 12月10日,Birsan被授予了超過$ 15,300的賞金(這筆錢僅用於獎勵高嚴重性漏洞),而僅僅24小時後,該漏洞已得到修補。伯桑(Birsan)將貝寶(PayPal)解決問題的速度描述為“令人印象深刻”,這種讚譽如今已很少出現。