自选
我的自选
查看全部
市值 价格 24h%
SVG Image
  • 全部
  • 产业
  • Web 3.0
  • DAO
  • DeFi
  • 符文
  • 空投再质押
  • 以太坊
  • Meme
  • 比特币L2
  • 以太坊L2
  • 研报
  • 头条
  • 投资
20.00% 80.00%
利好
利空

热门币种

更多

免责声明:内容不构成买卖依据,投资有风险,入市需谨慎!

PayPal.me 配置文件劫持漏洞已修复

2016-07-23 09:00:00
收藏

PayPal.me平台漏洞事件回顾

当在线支付巨头出现严重漏洞时,世界仿佛在瞬间变得不同。最近,PayPal.me网站的一个漏洞已被修复。利用该漏洞,攻击者可以在未经用户许可的情况下修改其个人资料。虽然这一过程中并未造成重大损害,但这显然不是为第三方服务做宣传的好方式。

漏洞详情

目前尚不清楚该漏洞在2015年推出的PayPal.me平台上存在了多久。安全研究人员在本周早些时候发现了这一跨站请求伪造(CSRF)漏洞。负责识别此漏洞的研究人员过去曾为Slack和Trello进行白帽黑客测试。

事实证明,CSRF令牌可以被移除或编辑,这使得攻击者能够更新用户的个人资料图片。然而,由于缺少必要的头部信息,无法在不重定向的情况下提交表单。尽管如此,能够在未经用户同意的情况下更改其个人资料图片已经足够令人担忧。

攻击条件与影响

但值得注意的是,这种攻击需要用户操作才能触发。如果潜在受害者没有访问托管CSRF利用代码的恶意网站,则不会造成任何损害。从某种意义上说,这本来就不算严重的威胁,因为更改个人资料图片本身并不会造成任何伤害。

通过该漏洞可能造成的唯一实质性损害是在个人PayPal.me个人资料页面上发布令人尴尬的照片。这将大大降低这个专业设计的支付工具的成功率。在向PayPal报告该漏洞后,团队迅速修复了该漏洞,并向发现者支付了750美元的赏金。

历史漏洞回顾

这并非PayPal首次在其平台上修复令人担忧的漏洞。今年早些时候,PayPal.com平台曾受到另一个漏洞的影响,该漏洞可能让攻击者在公司服务器上创建后门。幸运的是,该威胁也被迅速消除。

如果您喜欢这篇文章,请在Twitter上关注我们,并确保订阅我们的时事通讯,以获取最新的比特币和山寨币价格分析以及最新的加密货币新闻。

展开阅读全文
更多新闻