WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Lỗ hổng PayPal cho phép tin tặc đánh cắp toàn bộ tiền trong tài khoản người dùng
Một lỗi an ninh nghiêm trọng vừa được tìm thấy trong dịch vụ thanh toán trực tuyến toàn cầu PayPal có thể cho phép tin tặc đánh cắp thông tin đăng nhập của người dùng, và thậm chí là các chi tiết tín dụng ở dạng chưa mã hóa.
Chuyên gia Ebrahim Hegazy đã tìm thấy lỗ hổng Stored XSS trong tên miền thanh toán an ninh của PayPal.
Đúng như tên gọi, tên miền này được sử dụng để tiến hành các thanh toán trực tuyến an toàn khi người dùng mua sắm trên các trang mua sắm trực tuyến. Tên miền này cho phép người dùng thanh toán bằng thẻ thanh toán hoặc tài khoản PayPal, không cần phải lưu trữ thông tin thanh toán nhạy cảm.
Tuy vậy, tin tặc có thể thiết lập trang mua sắm trực tuyến giả mạo hoặc xâm nhập các trang mua sắm để lừa người dùng giao thông tin cá nhân và thông tin tín dụng.
Khai thác lỗ hổng này như thế nào?
Hegazy đã giải thích chi tiết cách thực hiện cuộc tấn công này.
Dưới đây là "kịch bản" tấn công tồi tệ nhất mà nhà nghiên cứu đưa ra:
- Kẻ tấn công thiết lập trang mua sắm trực tuyến giả mạo hoặc xâm nhập bất kỳ trang mua sắm hợp pháp.
- Thay đổi nút "Thanh Toán" (CheckOut) bằng cách chèn đường dẫn được thiết kế nhằm khai thác lỗ hỗng XSS.
- Khi người dùng PayPal vào trang mua sắm trực tuyến giả mạo và bấm vào nút “Thanh Toán” để thực hiện thanh toán với tài khoản PayPal, họ sẽ được chuyển hướng đến trang Thanh toán an toàn.
- Đây thực chất là một trang giả mạo yêu cầu người dùng nhập các thông tin tín dụng để hoàn tất việc mua sắm.
- Sau khi nhấn "Chấp nhận thanh toán", thay vì thanh toán số tiền cho món hàng đã mua (ví dụ như 100$) thì người dùng PayPal sẽ trả cho tin tặc số tiền mà tin tặc đã chọn.
Video Demo
Nhà nghiên cứu cũng cung cấp video về cách thực hiện cuộc tấn công:
Heazy đã thông báo lỗi này cho đội ngũ lập trình và quản lý của PayPal hôm 19/06/2015, PayPal đã xác nhận và tiến hành vá lỗi hôm 25/08/2015, hai tháng sau khi lỗ hổng được thông báo.
PayPal đã thưởng cho Hegazy 750 đô-la Mỹ vì đã tìm ra lỗ hổng, đây là khoản tiền tối đa mà hãng thưởng cho một phát hiện liên quan đến lỗ hổng XSS.
Chuyên gia Ebrahim Hegazy đã tìm thấy lỗ hổng Stored XSS trong tên miền thanh toán an ninh của PayPal.
Đúng như tên gọi, tên miền này được sử dụng để tiến hành các thanh toán trực tuyến an toàn khi người dùng mua sắm trên các trang mua sắm trực tuyến. Tên miền này cho phép người dùng thanh toán bằng thẻ thanh toán hoặc tài khoản PayPal, không cần phải lưu trữ thông tin thanh toán nhạy cảm.
Tuy vậy, tin tặc có thể thiết lập trang mua sắm trực tuyến giả mạo hoặc xâm nhập các trang mua sắm để lừa người dùng giao thông tin cá nhân và thông tin tín dụng.
Khai thác lỗ hổng này như thế nào?
Hegazy đã giải thích chi tiết cách thực hiện cuộc tấn công này.
Dưới đây là "kịch bản" tấn công tồi tệ nhất mà nhà nghiên cứu đưa ra:
- Kẻ tấn công thiết lập trang mua sắm trực tuyến giả mạo hoặc xâm nhập bất kỳ trang mua sắm hợp pháp.
- Thay đổi nút "Thanh Toán" (CheckOut) bằng cách chèn đường dẫn được thiết kế nhằm khai thác lỗ hỗng XSS.
- Khi người dùng PayPal vào trang mua sắm trực tuyến giả mạo và bấm vào nút “Thanh Toán” để thực hiện thanh toán với tài khoản PayPal, họ sẽ được chuyển hướng đến trang Thanh toán an toàn.
- Đây thực chất là một trang giả mạo yêu cầu người dùng nhập các thông tin tín dụng để hoàn tất việc mua sắm.
- Sau khi nhấn "Chấp nhận thanh toán", thay vì thanh toán số tiền cho món hàng đã mua (ví dụ như 100$) thì người dùng PayPal sẽ trả cho tin tặc số tiền mà tin tặc đã chọn.
Video Demo
Nhà nghiên cứu cũng cung cấp video về cách thực hiện cuộc tấn công:
[video=youtube;xpht2R_0cEg]https://www.youtube.com/watch?v=xpht2R_0cEg[/video]
Heazy đã thông báo lỗi này cho đội ngũ lập trình và quản lý của PayPal hôm 19/06/2015, PayPal đã xác nhận và tiến hành vá lỗi hôm 25/08/2015, hai tháng sau khi lỗ hổng được thông báo.
PayPal đã thưởng cho Hegazy 750 đô-la Mỹ vì đã tìm ra lỗ hổng, đây là khoản tiền tối đa mà hãng thưởng cho một phát hiện liên quan đến lỗ hổng XSS.
Theo The Hacker News
Chỉnh sửa lần cuối bởi người điều hành: