在最新的网络安全研究中,一名安全研究人员表示在知名支付软件PayPal中发现了一个高危零日漏洞,其攻击原理是利用点击劫持技术诱导用户进行点击,在不知不觉中完成交易,最终达到窃取资金的目的。
根据中国网络安全行业门户极牛网(GeekNB.com)的梳理,所谓点击劫持技术,指的是不知情的用户被诱骗点击看似无害的网页元素,目的是下载恶意软件、重定向到恶意网站或泄露敏感信息。这通常是通过在可见页面顶部显示不可见页面或 HTML 元素来实现的,这会导致用户误以为他们正在单击合法的页面,而实际上他们正在单击覆盖在其上的恶意的网页元素。
发现该漏洞安全研究人员 h4x0r_dz 表示,通常来说用于计费协议的访问端点 www.paypal[.]com/agreements/approve 应该只接受 billingAgreementToken,但在深入测试后发现并非如此,可以通过另一种令牌类型进行访问,这让攻击者有机会从受害者的 PayPal 账户中窃取资金。
当您想在接受 PayPal 作为交易手段并因此通过身份验证令牌返回平台的第三方网站上进行付款时,尤其可以利用该漏洞。如果您使用已登录 PayPal 帐户的网络浏览器,也存在危险。
更令人担忧的是,该攻击可能会对与 PayPal 集成以进行结账的在线门户网站造成灾难性后果,从而使恶意行为者能够从用户的 PayPal 账户中扣除任意金额。