貝寶（PayPal）解決了一個可被黑客用來向支付頁面插入惡意圖像的漏洞問題。

安全研究員Aditya K Sood發(fā)現(xiàn)貝寶用戶設(shè)置的支付頁面的URL中包含一個名為“image_url”的參數(shù)。這個參數(shù)的值可被指向一張托管在遠程服務(wù)器上的圖片URL所替 代。而這種情況能夠允許攻擊者使用第三方廠商的貝寶支付頁面?zhèn)鞑阂鈭D像。Sood通過在廠商支付頁面上展示任意圖像的方法證明了該漏洞的存在，不過他認 為攻擊者可能會傳播隱藏在圖像中的惡意軟件或利用。

網(wǎng)絡(luò)犯罪分子一直都使用看起來無害的圖像文件隱藏惡意軟件。這種技術(shù)曾被Lurk下載器、Neverquest惡意軟件、Stegoloader信息竊取器以及一個最近由卡巴斯基分析的巴西木馬的開發(fā)人員使用過。

Sood指出，“這是一種不安全的設(shè)計，因為貝寶允許遠程用戶將屬于自己的圖像注入到貝寶用于客戶交易的組件中。也就是說，攻擊者能否通過圖像傳播惡意軟件或利用？答案是肯定的。一些利用技術(shù)可實現(xiàn)這一目的。”

攻擊者能夠通過讓未經(jīng)驗證的用戶點擊特殊編制的鏈接的方式利用這個漏洞。URL被托管在paypal.com上的事實增加了受害者打開鏈接的可能性。

這個漏洞于1月份上報給了貝寶，不過在這個月才被修復(fù)。貝寶公司起初表示這個報告不具備獲取漏洞獎勵的資格，不過隨后公司決定修復(fù)這一漏洞并為Sood頒發(fā)了1000美元的獎勵。

Sood認為這是一個高風險問題，而且他對貝寶公司不同意他的評估而不滿。貝寶回應(yīng)稱，Sood描述的攻擊場景不可能發(fā)生，因為傳播惡意軟件有更加簡便的方法，此外表示公司正在積極掃描惡意內(nèi)容。

測騰代碼衛(wèi)士/文

以上就是本文的全部內(nèi)容，希望對大家的學習有所幫助，也希望大家多多支持本站。

版權(quán)聲明：本站文章來源標注為YINGSOO的內(nèi)容版權(quán)均為本站所有，歡迎引用、轉(zhuǎn)載，請保持原文完整并注明來源及原文鏈接。禁止復(fù)制或仿造本網(wǎng)站，禁止在非www.sddonglingsh.com所屬的服務(wù)器上建立鏡像，否則將依法追究法律責任。本站部分內(nèi)容來源于網(wǎng)友推薦、互聯(lián)網(wǎng)收集整理而來，僅供學習參考，不代表本站立場，如有內(nèi)容涉嫌侵權(quán)，請聯(lián)系alex-e#qq.com處理。