对于Paypal安全团队来说，“非法获取其他用户余额”并不是漏洞

漏洞描述：

受害者一旦点击攻击者精心构造的链接登录Paypal后，攻击者就可获取受害者的帐户信息和余额情况。

漏洞详情：

我在网页https://www.Paypal.com/c2/webapps/mpp/merchant?locale.x=zh_C2:上看到了如下信息：

Paypal在微信上注册了两个微信公众号码，以更好地服务中国用户。一个是“Paypal贝宝”，另一个是“Paypal外贸帮”，他们都由Paypal官方管理。

接着我测试了微信公众号“Paypal外贸帮”的功能，发现存在帐号劫持漏洞。

首先用微信扫描下面的图片（点击微信右上角的+号扫描二维码）：

然后单击“关注”，接着单击“注册查询”——“查询明细”，如下图所示：

如果你是第一次这么干，它将显示：

如果你以前曾这么干过，它将显示：

点击“同意并继续”：

然后程序会将会话绑定到当前的微信帐户：

如上图所示，你无法通过微信直接登录你的Paypal帐户，需要将链接复制到浏览器才能打开它。获取到的链接地址（你也可以参考上面的过程来获取链接）：

https://www.Paypal-proserv.com/wechat-Paypal/lipp?state=bMT8E8LjTLtFXAr4s8VAVwpfqRGHZzIM131BE542A69AF8AA5C766B08A38F2E60

当攻击者将此链接发送给受害者。当他们在浏览器中打开链接时，如果他们尚未登录Paypal，则会先要求他们登录Paypal帐户：

https://www.Paypal.com/c2/signin/authorize?client_id=AYTEs_A29KfUT0NSBFTtGRaYlyiXVMMJDmnEZxdCBJxZwCEIrhCpVo4vTVConJtmh5sJY8YnPqqrmMkS&response_type=code&scope=profile+email+openid+https://uri.Paypal.com/services/identity/activities/third-party-providers+https://uri.Paypal.com/services/wallet/balance-accounts/read+https://uri.Paypal.com/services/Paypalattributes&redirect_uri=https://www.Paypal-proserv.com/wechat-Paypal/authenticate&state=bMT8E8LjTLtFXAr4s8VAVwpfqRGHZzIM131BE542A69AF8AA5C766B08A38F2E60

如果受害者已登录该帐户，则显示如下：

从上可以看到，Paypal此时不仅申请获取你地隐私信息，还要求获取金额信息。请注意，这个申请是由Paypal发起的。

这个申请并没有涉及第三方域名。一般来说，第三方想要获取Paypal的敏感信息，需要如下授权（以www.pacificworldcoins.com为例）：

注意，第三方应用的申请，无法获得余额信息。

此时，受害者在看到Paypal官方发起申请时，有可能会放下戒心，点击同意。

这意味着受害者的Paypal帐户被绑定到攻击者的微信帐户。攻击者可以通过微信公众号“Paypal外贸帮”的查询功能得到受害者Paypal账户的余额信息。

打开微信公众号“Paypal外贸帮”并点击“注册查询”——“查询明细”：

攻击者成功获取受害者的帐户邮箱地址和余额信息：

受害者可以在https://www.Paypal.com/myaccount/settings/permissions上看到权限授予情况：

绑定后，你还可以获得余额信息：

视频演示：https://vimeo.com/332638059

当我把这个情况向Paypal安全团队报告后，他们表示，攻击者即使攻击成功，也只不过看到一些帐户金额信息而已，并不能利用它去购物、消费。安全团队认为这对安全没啥大影响。

或者对于Paypal的工作人员来说，看到别人的余额信息是很正常的。客户的个人隐私数据对Paypal来说毫无意义。

本文由白帽汇整理并翻译，不代表白帽汇任何观点和立场
来源：https://medium.com/@tod4ro/for-Paypal-security-team-get-user-balances-and-transaction-details-is-not-a-vulnerability-2e5b7f8780de