PayPal 0 day漏洞可窃取用户资金

研究人员在PayPal中发现一个未修复的安全漏洞，攻击者利用该漏洞可窃取用户资金。

安全研究人员h4x0r_dz在PayPal转账服务”www.paypal[.]com/agreements/approve”中发现了一个安全漏洞，攻击者利用该漏洞只需要点击一次就可以诱使用户完成攻击者控制的交易。www.paypal[.]com/agreements/approve是为Billing Agreements设计的，而且只接受billingAgreementToken。研究人员分析发现可以传递另一种token类型，并从受害者PayPal账户窃取资金。

该攻击利用了点击劫持技术，点击劫持技术利用不可见的重叠页面或HTML元素展示在可见的页面之上。用户点击合法页面后，实际上点击了攻击者置于合法内容之上的攻击者控制的元素。点击劫持技术可以被用来下载恶意软件、重定向到恶意网站或泄露敏感信息。

通过点击劫持技术，攻击者就可以成功劫持合法页面，并重定向其到攻击者应用、域名控制的另一个页面。攻击者可以通过iframe嵌入技术使得受害者登入web浏览器来转账，只需要点击一个按钮就可以使受害者转账到攻击者控制的PayPal账户。

漏洞利用PoC参见：https://www.youtube.com/embed/0h85N5Ne_ac

此外，利用该漏洞还可以使受害者创建或支付Netfix账户。

h4x0r_dz早在2021年10月就向PayPal提交了该漏洞。截至目前，该漏洞尚未被修复。

更多技术细节参见：https://medium.com/@h4x0r_dz/vulnerability-in-paypal-worth-200000-bounty-attacker-can-steal-your-balance-by-one-click-2b358c1607cc

参考及来源：https://thehackernews.com/2022/05/paypal-pays-hacker-200000-for.html