日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案
組合拳:三個(gè)漏洞實(shí)現(xiàn)PayPal賬戶劫持

PayPal是eBay旗下流行的第三方支付產(chǎn)品,類似于國(guó)內(nèi)的支付寶。最近有研究者在其web應(yīng)用程序中發(fā)現(xiàn)了三個(gè)高危漏洞,攻擊者可利用這些漏洞控制任意用戶的PayPal賬戶。

創(chuàng)新互聯(lián)公司于2013年成立,是專業(yè)互聯(lián)網(wǎng)技術(shù)服務(wù)公司,擁有項(xiàng)目成都網(wǎng)站建設(shè)、網(wǎng)站設(shè)計(jì)網(wǎng)站策劃,項(xiàng)目實(shí)施與項(xiàng)目整合能力。我們以讓每一個(gè)夢(mèng)想脫穎而出為使命,1280元徐水做網(wǎng)站,已為上家服務(wù),為徐水各地企業(yè)和個(gè)人服務(wù),聯(lián)系電話:028-86922220

科普:關(guān)于跨站請(qǐng)求偽造(CSRF)

跨站請(qǐng)求偽造(CSRF或者叫做XSRF)是攻擊網(wǎng)站的一種方法:攻擊者首先需要誘騙受害者訪問特定的HTML網(wǎng)頁(yè),然后即能偽造受害者身份向存在漏洞的網(wǎng)站發(fā)送攻擊請(qǐng)求。

攻擊流程

埃及的安全研究員Yasser H. Ali在PayPal網(wǎng)站上發(fā)現(xiàn)了三個(gè)高危漏洞,分別是:CSRF(跨站請(qǐng)求偽造)漏洞、繞過身份驗(yàn)證令牌漏洞和重置安全驗(yàn)證問題漏洞。

Yasser在下文的視頻中詳細(xì)的演示了怎樣利用這3個(gè)漏洞組合攻擊受害者:攻擊者通過CSRF漏洞秘密的把自己的郵箱ID關(guān)聯(lián)到了受害者賬戶上,重置了受害者賬戶上安全驗(yàn)證問題的答案,最終通過“忘記密碼”控制受害者的PayPal賬戶。

PayPal通常會(huì)使用身份驗(yàn)證令牌檢測(cè)來自合法賬戶的正常請(qǐng)求,但是Yasser成功的繞過了Paypal的防護(hù)并且執(zhí)行了漏洞利用(exploit)代碼。

一旦成功執(zhí)行了漏洞利用代碼,攻擊者的郵件ID就會(huì)被添加到受害者的賬戶上,這樣一來攻擊者就可以點(diǎn)擊PayPal網(wǎng)站上的“忘記密碼”選項(xiàng)來重置賬戶密碼了。但此時(shí)如果攻擊者不能正確回答用戶注冊(cè)時(shí)設(shè)置的安全問題,他還是不能改變用戶賬戶的原始密碼。

于是Yasser順藤查了下去,發(fā)現(xiàn)PayPal上還存在一個(gè)重置安全問題和答案的漏洞,最終繞過PayPal安全保護(hù)而重新設(shè)置受害者賬戶的密碼。

目前PayPal安全小組已緊急修復(fù)了這些漏洞。

演示視頻

視頻源地址:https://www.youtube.com/watch?v=KoFFayw58ZQ


網(wǎng)站名稱:組合拳:三個(gè)漏洞實(shí)現(xiàn)PayPal賬戶劫持
轉(zhuǎn)載源于:http://m.5511xx.com/article/cdedghj.html