算不算漏洞?PayPal帐号锁定被绕过引发争议

算不算漏洞?PayPal帐号锁定被绕过引发争议

编程入门访客2021-10-12 2:16:005381A+A-

  安全研究人员&白帽子Kunz Mejri近日发现了一个关于Paypal移动支付API的漏洞,攻击者可以利用该漏洞绕过Paypal的防盗号锁定设计。

  利用移动支付API绕过帐号锁定设计

  PayPal的防盗号锁定设计是这样的:如果有人多次输入不正确的密码,其PayPal帐户就会被暂时封锁。要解封帐户,用户必须回答一系列的安全提问。

  这一安全功能只在常规的Web应用程序中应用,但安全研究人员&白帽子Kunz Mejri发现:移动API不检查账户是否被封,直接允许用户再次登录,

  Benjamin Kunz Mejri是 漏洞实验室(Vulnerability Lab)创始人,也是发现该问题的人,他于上周发表了这个漏洞。

  “客户端API只会检查帐户是否存在,而不会检查账户是否被封锁,这使得封锁的用户能够访问PayPal账户,并进行转账等交易,他可以送钱从帐户中,iPhone / iPad的Paypal应用需要更新,以确保应用能够验证帐户状态,以防账号盗用的事情发生。”

  该漏洞已经过测试,在iOS的应用程序中得到验证,但Kunz Mejri称,Paypal Android版本的应用程序也受到影响。

  漏洞确认引发分歧

  这份安全漏洞报告早在2013年3月已提交给PayPal,在此之后PayPal应用程序几度更新,但漏洞始终没有被修复。Kunz Mejri说Paypal表示因最初没能复现漏洞,否认存在问题。然而,当白帽子Kunz Mejri提供POC(proof-of-concept)视频后,PayPal最终确认了该漏洞(这种厂商也算典型的不到黄河不死心……)。但PayPal公司表示不会为该漏洞支付报酬,因为PayPal认为这超出了他们的奖励范围。但Kunz Mejri坚持认为他应该有资格获得漏洞奖金。

  在SecurityWeek与PayPal取得联系后,PayPal表示他们公司目前正在处理漏洞,之后也会奖励报告安全问题的研究人员。Paypal在一份电子邮件声明中说。

  “通过Paypal的漏洞赏金计划,白帽子帮助我们发现了使用PayPal的移动应用程序时绕过安全问题的方法。我们客户的账户安全对我们很重要,我们正在努力解决这个问题,需要强调的是我们没有任何证据表明这一漏洞影响了Paypal帐户的安全性。”

 

 

点击这里复制本文地址 以上内容由黑资讯整理呈现,请务必在转载分享时注明本文地址!如对内容有疑问,请联系我们,谢谢!
  • 1条评论
  • 余安几钵2022-05-29 02:03:28
  • PayPal帐户就会被暂时封锁。要解封帐户,用户必须回答一系列的安全提问。  这一安全功能只在常规的Web应用程序中应用,但安全研究人员&白帽子Kunz Mejri发现:移动API不检查账户是否被封,直接允许用户再次登录,  Benjamin Kunz Mejr

支持Ctrl+Enter提交

黑资讯 © All Rights Reserved.  
Copyright Copyright 2015-2020 黑资讯
滇ICP备19002590号-1
Powered by 黑客资讯 Themes by 如有不合适之处联系我们
网站地图| 发展历程| 留言建议| 网站管理