压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

　　安全研究人員&白帽子Kunz Mejri近日發(fā)現(xiàn)了一個(gè)關(guān)于Paypal移動(dòng)支付API的漏洞，攻擊者可以利用該漏洞繞過(guò)Paypal的防盜號(hào)鎖定設(shè)計(jì)。

　　利用移動(dòng)支付API繞過(guò)帳號(hào)鎖定設(shè)計(jì)

　　PayPal的防盜號(hào)鎖定設(shè)計(jì)是這樣的：如果有人多次輸入不正確的密碼，其PayPal帳戶就會(huì)被暫時(shí)封鎖。要解封帳戶，用戶必須回答一系列的安全提問(wèn)。

　　這一安全功能只在常規(guī)的Web應(yīng)用程序中應(yīng)用，但安全研究人員&白帽子Kunz Mejri發(fā)現(xiàn)：移動(dòng)API不檢查賬戶是否被封，直接允許用戶再次登錄，

　　Benjamin Kunz Mejri是 漏洞實(shí)驗(yàn)室(Vulnerability Lab)創(chuàng)始人，也是發(fā)現(xiàn)該問(wèn)題的人，他于上周發(fā)表了這個(gè)漏洞。

　　“客戶端API只會(huì)檢查帳戶是否存在，而不會(huì)檢查賬戶是否被封鎖，這使得封鎖的用戶能夠訪問(wèn)PayPal賬戶，并進(jìn)行轉(zhuǎn)賬等交易，他可以送錢從帳戶中，iPhone / iPad的Paypal應(yīng)用需要更新，以確保應(yīng)用能夠驗(yàn)證帳戶狀態(tài)，以防賬號(hào)盜用的事情發(fā)生。”

　　該漏洞已經(jīng)過(guò)測(cè)試，在iOS的應(yīng)用程序中得到驗(yàn)證，但Kunz Mejri稱，Paypal Android版本的應(yīng)用程序也受到影響。

　　漏洞確認(rèn)引發(fā)分歧

　　這份安全漏洞報(bào)告早在2013年3月已提交給PayPal，在此之后PayPal應(yīng)用程序幾度更新，但漏洞始終沒有被修復(fù)。Kunz Mejri說(shuō)Paypal表示因最初沒能復(fù)現(xiàn)漏洞，否認(rèn)存在問(wèn)題。然而，當(dāng)白帽子Kunz Mejri提供POC(proof-of-concept)視頻后，PayPal最終確認(rèn)了該漏洞（這種廠商也算典型的不到黃河不死心……）。但PayPal公司表示不會(huì)為該漏洞支付報(bào)酬，因?yàn)镻ayPal認(rèn)為這超出了他們的獎(jiǎng)勵(lì)范圍。但Kunz Mejri堅(jiān)持認(rèn)為他應(yīng)該有資格獲得漏洞獎(jiǎng)金。

　　在SecurityWeek與PayPal取得聯(lián)系后，PayPal表示他們公司目前正在處理漏洞，之后也會(huì)獎(jiǎng)勵(lì)報(bào)告安全問(wèn)題的研究人員。Paypal在一份電子郵件聲明中說(shuō)。

　　“通過(guò)Paypal的漏洞賞金計(jì)劃，白帽子幫助我們發(fā)現(xiàn)了使用PayPal的移動(dòng)應(yīng)用程序時(shí)繞過(guò)安全問(wèn)題的方法。我們客戶的賬戶安全對(duì)我們很重要，我們正在努力解決這個(gè)問(wèn)題，需要強(qiáng)調(diào)的是我們沒有任何證據(jù)表明這一漏洞影響了Paypal帳戶的安全性。”