Paypal暴泄露个人信息漏洞 可查询余额和交易记录

2018-02-2714:13:51 发表评论

Paypal暴泄露个人信息漏洞  可查询余额和交易记录

 

 

 

 

 

 

 

 

 

介绍

这篇文章详细介绍了一个问题,它允许列举付款方式的最后四位数字(例如信用卡或借记卡),并且披露任何给定PayPal账户的账户余额和近期交易。

这次漏洞攻击被提交给PayPal的漏洞奖励计划 ,在该程序中它被归类为超出规模,这是无可否认的,因为他们的法式规模没有提到对他们的交互式语音响应系统的任何进击。

先决条件和侦察

为了开始攻击,攻击者需要知道与帐户有关的两条信息,这些信息将是与其链接的电子邮件地址和电话号码。

知道与帐户关联的电子邮件地址和电话号码后,攻击者将访问 PayPal网站上的“  忘记密码”页面,并输入与目标帐户关联的电子邮件地址。

然后,攻击者将收到链接到该帐户的卡片类型,以及该卡的最后两位数。

攻击交互式语音应答系统

乍一看,PayPal基于客服电话的交互式语音响应系统,似乎最多允许尝试提交三次每个电话的最后四位数字。

但是,如果第一次提交尝试不正确,则在同一通话期间的后续尝试中,将不会通知主叫方成功提交。这使得在相同的电话呼叫中给予呼叫者的任何额外尝试都是掩饰。

为了避开这个假定的限制,攻击者只需要一次尝试提交每个电话最后四位数的可能组合。

此外,限制每次通话一次提交的次数,使得枚举正确组合的任务更加高效,更不用说,它可以很容易地区分正确的尝试和错误的尝试。

同时,我已经用我自己的帐号测试了这个理论,我已经能够得出结论,提交尝试的数量是没有限制的,这意味着,假设攻击者可以调用10万次,以完全自己的方式列举出最后的四位数字。

然而,这忽略从忘记密码页中检索到的最后两个数字,这样的条件有效地使攻击变得更加可行——通过将可能的组合数量从10万减少到仅100。

CE安全网
CE安全网广告位招租

发表评论

您必须登录才能发表评论!