日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

近日，白帽子Jan Kechel發(fā)現(xiàn)了PayPal存在謊稱支付額度的漏洞，并證明這可能會并被利用來進(jìn)行詐騙。

站在用戶的角度思考問題，與客戶深入溝通，找到曲麻萊網(wǎng)站設(shè)計與曲麻萊網(wǎng)站推廣的解決方案，憑借多年的經(jīng)驗(yàn)，讓設(shè)計與互聯(lián)網(wǎng)技術(shù)結(jié)合，創(chuàng)造個性化、用戶體驗(yàn)好的作品，建站類型包括：做網(wǎng)站、成都網(wǎng)站設(shè)計、企業(yè)官網(wǎng)、英文網(wǎng)站、手機(jī)端網(wǎng)站、網(wǎng)站推廣、域名注冊、網(wǎng)站空間、企業(yè)郵箱。業(yè)務(wù)覆蓋曲麻萊地區(qū)。

Jan Kechel給出的Demo：http://lvps91-250-100-5.dedicated.hosteurope.de:43926/

作者在頁面上給出了詳細(xì)的步驟和解釋，首先點(diǎn)擊“start step 1”會轉(zhuǎn)向一個1歐元的PayPal“快捷支付“頁面：

當(dāng)確認(rèn)支付后，回重定向到付款頁面(DoExpressCheckoutPayment)。注意，問題就出在這個重定向后的頁面上，作者在demo中把付款金額調(diào)整為了2歐元，點(diǎn)“start step 2”后便會支付2歐：

當(dāng)然若想完成交易是必須“確認(rèn)支付”的(也就是setp 2)，這無疑造成了支付缺陷給不法分子帶來了機(jī)會。同樣，作者使用了200美元同樣上試驗(yàn)成功。

Jan Kechel向PayPal提交漏洞后，PayPal公司卻否認(rèn)這是一個安全漏洞不給予Jan Kechel任何賞金。PalPay聲稱這是為了小額的運(yùn)費(fèi)(或其他)而故意為之的。

作者認(rèn)為PayPal公司應(yīng)該在“快捷支付”被確認(rèn)后的“付款”進(jìn)行再次檢查，以防止實(shí)際付款金額大于確認(rèn)支付的金額，并且一旦有小額的費(fèi)用變化要向用戶進(jìn)行明顯的提示。

原文地址：http://seclists.org/bugtraq/2014/Jul/85

分享名稱：PayPal支付缺陷造成謊稱支付額度漏洞
新聞來源：http://m.5511xx.com/article/cocdoec.html