欢迎光临咸阳新闻网! 设为首页| 加入收藏
 
A1副本.jpg
您的位置:咸阳新闻网 > 真相

算不算漏洞?PayPal帐号锁定被绕过引发争议

2019/9/10 16:36:40     来源:咸阳日报

安全研究人员&白帽子Kunz Mejri近日发现了一个关于Paypal移动支付API的漏洞,攻击者可以利用该漏洞绕过Paypal的防盗号锁定设计。

利用移动支付API绕过帐号锁定设计

PayPal的防盗号锁定设计是这样的:如果有人多次输入不正确的密码,其PayPal帐户就会被暂时封锁。要解封帐户,用户必须回答一系列的安全提问。

这一安全功能只在常规的Web应用程序中应用,但安全研究人员&白帽子Kunz Mejri发现:移动API不检查账户是否被封,直接允许用户再次登录,

Benjamin Kunz Mejri是 漏洞实验室(Vulnerability Lab)创始人,也是发现该问题的人,他于上周发表了这个漏洞。

“客户端API只会检查帐户是否存在,而不会检查账户是否被封锁,这使得封锁的用户能够访问PayPal账户,并进行转账等交易,他可以送钱从帐户中,iPhone / iPad的Paypal应用需要更新,以确保应用能够验证帐户状态,以防账号盗用的事情发生。”

该漏洞已经过测试,在iOS的应用程序中得到验证,但Kunz Mejri称,Paypal Android版本的应用程序也受到影响。

 

漏洞证明POC(proof-of-concept)视频:

 

https://www.youtube.com/watch?v=RXubXP_r2M4

漏洞确认引发分歧

这份安全漏洞报告早在2013年3月已提交给PayPal,在此之后PayPal应用程序几度更新,但漏洞始终没有被修复。Kunz Mejri说Paypal表示因最初没能复现漏洞,否认存在问题。然而,当白帽子Kunz Mejri提供POC(proof-of-concept)视频后,PayPal最终确认了该漏洞(这种厂商也算典型的不到黄河不死心……)。但PayPal公司表示不会为该漏洞支付报酬,因为PayPal认为这超出了他们的奖励范围。但Kunz Mejri坚持认为他应该有资格获得漏洞奖金。

在SecurityWeek与PayPal取得联系后,PayPal表示他们公司目前正在处理漏洞,之后也会奖励报告安全问题的研究人员。Paypal在一份电子邮件声明中说。

“通过Paypal的漏洞赏金计划,白帽子帮助我们发现了使用PayPal的移动应用程序时绕过安全问题的方法。我们客户的账户安全对我们很重要,我们正在努力解决这个问题,需要强调的是我们没有任何证据表明这一漏洞影响了Paypal帐户的安全性。”
相关阅读:
收微信号 http://www.jjr1688.com/

网站简介 | 版权声明 | 联系我们 | 广告服务 | 工作邮箱
新闻刊载许可:国新办发函[2003]01号   广播电视节目制作经营许可证:(宁)字第056号
主管单位:咸阳市委宣传部 主办单位:咸阳日报社 
Copyright © 2003-2014 咸阳新闻网 All rights reserved