继上次发现PayPal远程代码执行漏洞之后,我又通过CSRF和XSS方式发现了PayPal合作方网站的未授权账户访问漏洞,利用该漏洞可以远程窃取用户账户Cookie信息,实现账户劫持。
前言
在想办法绕过WAFs,或希望通过存储型XSS构造远程XSS攻击时,XSS漏洞的挖掘就派上了用场。在这有三个经典粟子大家可以仔细研究学习:
whitton : uber-turning-self-xss-into-good-xss
geekboy:airbnb-bug-bounty-turning-self-xss-into-good-xss-2
arbazhussain:self-xss-to-good-xss-clickjacking-6db43b44777e
如果你能发现某个WEB应用的存储型XSS漏洞,并且其对C
美国网络安全服务商Proofpoint近日发现了一种新的针对PayPal用户的钓鱼套路,攻击者在钓鱼过程中利用身份验证机制检查用户提交的账户信息是否真实,以寻求更高效的诈骗。
一探究竟
作为这套钓鱼组合拳的第一步,攻击者利用电子邮件散播虚假URL,诱使受害者访问精心伪造的钓鱼页面(如下图,完全仿照PayPal官方登录页)。
通过邮件散布恶意URL访问到的虚假PayPal登录界面
研究者证实,如果用户在这里输入了虚假的登录信息,这个钓鱼页面会返回一个“措辞含糊的错误提示”(见下图)。以往钓鱼网站通常不具备这种功能,一般是无论你输入什么信息它们都会笑纳。
当随意输入登录信息时看到的提示
之所以收到这样的返回信息是由于钓鱼网站会先同PayPal就用户输入的Login ID做一个检查。具体来讲,攻击者会利用一项P
双因子认证(2FA)是指结合密码以及实物(信用卡、SMS手机、令牌或指纹等生物标志)两种条件对用户进行认证的方法。这种方法已经为企业所采用,主要用于增加账户的安全性,更好的保护用户的账户安全。
与其他大多数网络服务商一样,PayPal也为用户提供了双重验证的选项。双重验证的一个特点就是:在用户尝试使用用户名和密码登录账户时,服务器会向用户发送一次性的短信验证码来验证手机。用户需要有手机服务才能接收到服务器发送的验证码。如果没有手机信号,那他们就没有办法接收服务器发送的验证码,换句话说,他们就不能通过标准的双重验证模式登录账户。
然而,英国安全研究专家Henry Hoggard还是发现了一个非常简单的方法来绕过PayPal的双重验证机制。绕过双重验证机制后,黑客可以在一分钟内轻松掌控用户的PayPal账户。
这
发布时间:
2016-11-05 00:50 |
阅读:110573 | 评论:0 |
标签:
漏洞 paypal
今天,我将告诉你如何在利用文件包含漏洞,漏洞站点Demo.PayPal.Com
我希望你会喜欢
当我试图找到在Web应用程序中的漏洞,我一直执行所有的HTTP参数的模糊,有时它给了我一些有趣的事情:
这个demo.paypal.com的服务器响应以不同的方式’’和’%0A’的请求和响应中被扔了“语法错误”。同时对单引号,双引号和其他字符服务器与HTTP 200 OK响应。
从错误信息,我发现,PayPal的Node.js应用程序使用的JavaScript Dust.js模板引擎在服务器端,所以我决定去看看。看着在GitHub上它的源代码后,我想通了,问题是用“if”dust.js helper 连接。
老版Dust.js的支持“if”helper,你可以在你的
2015年12月,笔者在PayPal的某个分站中发现了一个能够远程执行任意shell命令的java反序列化漏洞,并且能够影响到PayPal的产品数据库。我马上将该漏洞提交给了PayPal,并且很快得到了修复。漏洞细节在测试manager.paypal.com这个站点时,我的注意力被post提交中的不寻常的参数“oldForm”所吸引,这个参数的内容就像是base64解码后的复杂对象。在经过一些研究之后,我意识到这就是能被应用处理的没有经过签名的java序列化对象。这意味着你能将存在的class序列化后提交给服务器,然后“readObject”(或者“readResolve”)方法会被调用来解析该序列化的对象。为了利用这个漏洞,你需要在应用的 “classpath” 中找
对于黑客和垃圾邮件制造者来说Paypal已经成为最具有吸引力的平台,近几年来,Paypal用户一直被他们骚扰。
但是,Paypal的自身安全不是一个问题而是一种网络犯罪分子对Paypal用户发射网络仿冒攻击的活动。要知道,Paypal拥有所有在线平台中最好的安全布局。
Paypal服务器从未被黑客攻破,但是多数他们发给用户的电子邮件被定为了攻击目标。在最近的攻击中(由Comodo Antispam Lab检测),黑客已经利用了PayPal 用来识别用户账户可疑活动的电子邮件模板。
据Comodo说,在这个钓鱼骗局中,网络犯罪分子报告用户他们的账户有异常活动,并请求快速变更基本信息。
他们同样提供一个附件用来更新简介,这个附件将会带他们来到Paypal的首页,但是它实际上是一个盗取用户所有数据的陷阱。
钓鱼者试
发布时间:
2015-11-03 03:00 |
阅读:74225 | 评论:0 |
标签:
业界 PayPal 支付 钓鱼
eBay公司旗下的全球电子商务公司PayPal的一个严重的远程代码执行漏洞被报道了出来,黑客可以利用这个漏洞,从而可以在PayPal公司在线营销服务的Web应用服务器上执行任意的代码。
这个远程代码执行漏洞是由一个名为Milan A Solanki的独立安全研究员发现的。并且这个漏洞的威胁等级被漏洞实验室的通用漏洞评分系统(CVSS)评分为9.3,并且已经严重影响了PayPal公司在线营销服务的Web应用服务器了。
这个漏洞驻留在PayPal公司在线营销服务的Web服务器中的Java Debug Wire Protocol(JDWP)协议里面。
一旦成功地利用了PayPal公司的这个漏洞,那么有可能导致系统的特定代码会在未经授权的情况下被执行,从而对目标系统进行攻击。然后黑客便可以在不需要任何特殊权限或者用户