对于Paypal安全团队来说,“非法获取其他用户余额”并不是漏洞

iso60001  904天前

22.png

漏洞描述:

受害者一旦点击攻击者精心构造的链接登录Paypal后,攻击者就可获取受害者的帐户信息和余额情况。

漏洞详情:

我在网页https://www.Paypal.com/c2/webapps/mpp/merchant?locale.x=zh_C2:上看到了如下信息:

33.png

Paypal在微信上注册了两个微信公众号码,以更好地服务中国用户。一个是“Paypal贝宝”,另一个是“Paypal外贸帮”,他们都由Paypal官方管理。

接着我测试了微信公众号“Paypal外贸帮”的功能,发现存在帐号劫持漏洞。

首先用微信扫描下面的图片(点击微信右上角的+号扫描二维码):

44.png

然后单击“关注”,接着单击“注册查询”——“查询明细”,如下图所示:

55.png

66.png

如果你是第一次这么干,它将显示:

77.png

如果你以前曾这么干过,它将显示:

88.png

点击“同意并继续”:

99.png

然后程序会将会话绑定到当前的微信帐户:

100.png

如上图所示,你无法通过微信直接登录你的Paypal帐户,需要将链接复制到浏览器才能打开它。获取到的链接地址(你也可以参考上面的过程来获取链接):

https://www.Paypal-proserv.com/wechat-Paypal/lipp?state=bMT8E8LjTLtFXAr4s8VAVwpfqRGHZzIM131BE542A69AF8AA5C766B08A38F2E60

当攻击者将此链接发送给受害者。当他们在浏览器中打开链接时,如果他们尚未登录Paypal,则会先要求他们登录Paypal帐户:

https://www.Paypal.com/c2/signin/authorize?client_id=AYTEs_A29KfUT0NSBFTtGRaYlyiXVMMJDmnEZxdCBJxZwCEIrhCpVo4vTVConJtmh5sJY8YnPqqrmMkS&response_type=code&scope=profile+email+openid+https://uri.Paypal.com/services/identity/activities/third-party-providers+https://uri.Paypal.com/services/wallet/balance-accounts/read+https://uri.Paypal.com/services/Paypalattributes&redirect_uri=https://www.Paypal-proserv.com/wechat-Paypal/authenticate&state=bMT8E8LjTLtFXAr4s8VAVwpfqRGHZzIM131BE542A69AF8AA5C766B08A38F2E60

110.png

如果受害者已登录该帐户,则显示如下:

120.png

从上可以看到,Paypal此时不仅申请获取你地隐私信息,还要求获取金额信息。请注意,这个申请是由Paypal发起的。

这个申请并没有涉及第三方域名。一般来说,第三方想要获取Paypal的敏感信息,需要如下授权(以www.pacificworldcoins.com为例):

130.png

注意,第三方应用的申请,无法获得余额信息。

此时,受害者在看到Paypal官方发起申请时,有可能会放下戒心,点击同意。

140.png

这意味着受害者的Paypal帐户被绑定到攻击者的微信帐户。攻击者可以通过微信公众号“Paypal外贸帮”的查询功能得到受害者Paypal账户的余额信息。

打开微信公众号“Paypal外贸帮”并点击“注册查询”——“查询明细”:

150.png

攻击者成功获取受害者的帐户邮箱地址和余额信息:

160.png

170.png

受害者可以在https://www.Paypal.com/myaccount/settings/permissions上看到权限授予情况:

180.png

绑定后,你还可以获得余额信息:

视频演示:https://vimeo.com/332638059

19.png

当我把这个情况向Paypal安全团队报告后,他们表示,攻击者即使攻击成功,也只不过看到一些帐户金额信息而已,并不能利用它去购物、消费。安全团队认为这对安全没啥大影响。

或者对于Paypal的工作人员来说,看到别人的余额信息是很正常的。客户的个人隐私数据对Paypal来说毫无意义。

本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场
来源:https://medium.com/@tod4ro/for-Paypal-security-team-get-user-balances-and-transaction-details-is-not-a-vulnerability-2e5b7f8780de

最新评论

昵称
邮箱
提交评论