研究员Alex Birsan 在 PayPal 中找到一个严重的漏洞,可导致黑客获取用户邮件地址和密码,因此获得1.5万美元的奖励。他在分析PayPal 的主认证流时发现了这个漏洞,它和 PayPal 将跨站点请求伪造 (CSRF) 令牌和用户会话 ID 放在 JavaScript 文件中有关,导致攻击者能够通过跨站点脚本包含 (XSSI) 攻击检索到。虽然混淆器用于随机化每个请求上的变量名称,但我们仍然可以预测有意思的令牌位于何处,之后进行检索。虽然 CSRF令牌和会话 ID 无法用于发动直接攻击,但研究员发现了可以利用它们攻击 PayPal 作为防御暴力攻击的安全挑战。经过多次登录尝试后,用户被要求先解决一个 reCAPTCHA 挑战再继续。用户看到的页面上只有一个谷歌 CAPTCHA 而且如果该挑战成功解决,则会初始化/auth/validatecaptcha 的 HTTP POST 请求。Birsan解释称,“这个captcha 验证请求的响应旨在重新将用户引入认证流。为此,它包含一个自提交表单,其中所有的数据提供在用户的最新登录请求中,包括他们的邮件和明文密码。”为了获取这些凭证,攻击者需要说服目标用户在登录 PayPal 账户前访问恶意网站。Birsan发现该 CSRF令牌和会话 ID 以及两个其它令牌存在于请求主体中,并认为如果请求中使用的所有令牌是已知的,则受害者的PayPal 凭证可被检索到。其中一个未知令牌的值并未得到验证,而另外一个是 recaptcha,即谷歌为解决 reCAPTCHA 挑战而提供的令牌,它和会话并未关联,意味着任何合法令牌,包括源自自动化解决服务的令牌可被使用。Birsan创建了可利用初始 XSSI漏洞从受害者会话检索合法令牌,之后通过暴力攻击触发安全挑战流。Birsan解释称,“受害者通过相同的浏览器登录到PayPal 之后,缓存的随机凭证将由用户自己的邮件和密码进行取代。最后一步是获取新的reCAPTCHA 令牌,之后明文凭证将被从/auth/validatecaptcha 端点检索并展示在页面上。”为了获取凭证,攻击者将需要说服目标用户在用户登录到 PayPal账户前访问恶意网站。同样的易受攻击的进程也被发现用于某些未经认证的登出页面,导致可通过一样的技术泄露明文信用卡数据。2019年11月18日,Birsan通过HackerOne 平台将漏洞告知PayPal。18天后该漏洞得以验证,并在12月11日得到修复。PayPal 因此为Birsan 颁发1.53万美元的奖励金。研究人员表示,作为补丁的一部分,/auth/validatecaptcha 端点还请求额外的 CSRF 令牌,而该令牌无法通过跨站点脚本包含被泄露。Birsan总结称,“虽然漏洞被正确修复,但我认为整件事情本来可以按照最古老也最重要的一个信息安全建议得以避免,那就是:永远不要以明文形式存储密码。”
来不?一起玩耍!
https://www.securityweek.com/paypal-patches-vulnerability-exposed-user-passwords
本文由奇安信代码卫士编译,不代表奇安信观点,转载请注明“转自奇安信代码卫士 www.codesafe.cn”
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
点个“在看”,bounty 多多~