17站长网

17站长网 首页 安全 漏洞分析 查看内容

黑客通过Paypal可传输恶意图像

2022-9-27 15:47| 查看: 2378 |来源: 互联网

贝宝(PayPal)解决了一个可被黑客用来向支付页面插入恶意图像的漏洞问题。 安全研究员Aditya K Sood发现贝宝用户设置的支付页面的URL中包含一个名为“image_url”的参数。这个参数的值可被指向一张托管在远程服务

贝宝(PayPal)解决了一个可被黑客用来向支付页面插入恶意图像的漏洞问题。

安全研究员Aditya K Sood发现贝宝用户设置的支付页面的URL中包含一个名为“image_url”的参数。这个参数的值可被指向一张托管在远程服务器上的图片URL所替 代。而这种情况能够允许攻击者使用第三方厂商的贝宝支付页面传播恶意图像。Sood通过在厂商支付页面上展示任意图像的方法证明了该漏洞的存在,不过他认 为攻击者可能会传播隐藏在图像中的恶意软件或利用。

网络犯罪分子一直都使用看起来无害的图像文件隐藏恶意软件。这种技术曾被Lurk下载器、Neverquest恶意软件、Stegoloader信息窃取器以及一个最近由卡巴斯基分析的巴西木马的开发人员使用过。

Sood指出,“这是一种不安全的设计,因为贝宝允许远程用户将属于自己的图像注入到贝宝用于客户交易的组件中。也就是说,攻击者能否通过图像传播恶意软件或利用?答案是肯定的。一些利用技术可实现这一目的。”

攻击者能够通过让未经验证的用户点击特殊编制的链接的方式利用这个漏洞。URL被托管在paypal.com上的事实增加了受害者打开链接的可能性。

这个漏洞于1月份上报给了贝宝,不过在这个月才被修复。贝宝公司起初表示这个报告不具备获取漏洞奖励的资格,不过随后公司决定修复这一漏洞并为Sood颁发了1000美元的奖励。

Sood认为这是一个高风险问题,而且他对贝宝公司不同意他的评估而不满。贝宝回应称,Sood描述的攻击场景不可能发生,因为传播恶意软件有更加简便的方法,此外表示公司正在积极扫描恶意内容。

本文最后更新于 2022-9-27 15:47,某些文章具有时效性,若有错误或已失效,请在网站留言或联系站长:17tui@17tui.com
·END·
站长网微信号:w17tui,关注站长、创业、关注互联网人 - 互联网创业者营销服务中心

免责声明:本站部分文章和图片均来自用户投稿和网络收集,旨在传播知识,文章和图片版权归原作者及原出处所有,仅供学习与参考,请勿用于商业用途,如果损害了您的权利,请联系我们及时修正或删除。谢谢!

17站长网微信二维码

始终以前瞻性的眼光聚焦站长、创业、互联网等领域,为您提供最新最全的互联网资讯,帮助站长转型升级,为互联网创业者提供更加优质的创业信息和品牌营销服务,与站长一起进步!让互联网创业者不再孤独!

扫一扫,关注站长网微信

大家都在看

    热门排行

      最近更新

        返回顶部