支付巨头PayPal曝大漏洞，黑客可直接窃取用户资金

据The 支付Hacker News消息，昵称为h4x0r_dz的巨头接窃金安全研究人员在支付巨头PayPal的汇款服务中发现了一个未修补的大漏洞 ，可允许攻击者窃取用户账户中的漏洞资金。其攻击原理是黑客户资利用点击劫持技术诱导用户进行点击，在不知不觉中完成交易 ，可直最终达到窃取资金的取用目的  。亿华云

所谓点击劫持技术
，支付指的巨头接窃金是不知情的用户被诱骗点击看似无害的网页元素(如按钮)
，目的漏洞是下载恶意软件、重定向到恶意网站或泄露敏感信息 。黑客户资

而在PayPal的可直漏洞中 ，香港云服务器这个技术被用来完成交易。取用黑客利用了不可见的支付覆盖页面或显示在可见页面顶部的HTML元素。在点击合法页面时 ，巨头接窃金用户实际上是漏洞在点击由攻击者控制的覆盖合法内容的恶意元素。

2021年10月 ，h4x0r_dz向PayPal报告了这一漏洞，证明攻击者可以通过利用 Clickjacking 窃取用户的源码下载资金 。

h4x0r_dz是在专为计费协议设计的“www.paypal[.]com/agreements/approve”端点上发现了该漏洞 。他表示，“按照逻辑，这个端点应只接受 billingAgreementToken
，但在深入测试后发现并非如此
，我们可以通过另一种令牌类型完成，这让攻击者有机会从受害者的 PayPal 账户中窃取资金
。”

这意味着攻击者可以将上述端点嵌入到iframe中，免费模板如下图所示，此时已经登录Web浏览器的受害者点击页面的任何地方，就会自动向攻击者所控制的PayPal 帐户付款 。

更令人担忧的是，这次攻击可能会对和PayPal集成进行结账的在线门户网站造成灾难性后果，从而使攻击者能够从用户的服务器租用PayPal账户中扣除任意金额。

h4x0r_dz在社交平台上发布的帖子写到，“有一些在线服务可以让你使用 PayPal 将余额添加到你的帐户中，我可以使用相同的漏洞并强迫用户向我的帐户充值 ，或者我可以利用此漏洞让受害者为我创建/支付 Netflix帐户。”

目前 ，有安全专家表示 ，该漏洞尚未完成修复工作 ，模板下载用户应保持足够的警惕。