当前位置:主页>资 讯>安全动态>

Paypal漏洞致使恶意邮件横行,用户安全受威胁

Paypal近日修复了一个安全漏洞,他们发现黑客利用该漏洞通过Paypal平台发送恶意email。

Vulnerability Lab(漏洞实验室)的研究人员发现了Paypal的防注入过滤系统与应用端输入验证存在漏洞,通过该漏洞,攻击者可以通过Paypal平台发送带有恶意注入代码的电子邮件。攻击者可以通过PP平台发送带有恶意注入代码的email。

“PayPal的在线服务web应用中的持续性输入验证以及电子邮件编码web漏洞已被发现。”验证与电子邮件编码web漏洞允许远程攻击者在部分电子邮件的标头(header)中注入他们自己的恶意脚本代码。”Vulnerability Lab公开的一篇文章称。

当PayPal用户创建一个新的账号时可以连接到多个电子邮件地址。用户需要确认每一个电子邮件地址:PayPal向用户的每一个email地址都发送一个验证代码,用户在web端输入该验证代码进行确认。

但是,攻击者可以通过创建一个新的账户并在账户所有者域插入任意HTML代码实施攻击。

攻击实施起来非常简单,攻击者将新账户连接到受害者email并在账户所有者名称区域中插入恶意代码。然后平台会发送一封确认邮件至受害者邮箱,该邮件中包含的恶意代码在受害者打开email时会自动执行。

实施该种攻击的攻击者可以说是阴险至极,因为包含恶意代码的邮件是由PayPal平台通过其客户服务的邮箱(@paypal.com)发送的。因此,防御系统不会判断该邮件是钓鱼邮件或者垃圾邮件。

以上攻击场景可以被恶意攻击者用于实施钓鱼活动,会话劫持或将用户重定向至某个由攻击者操纵的特定域名。

Vulnerability Lab在去年十月将该问题上报至Paypal,该漏洞在本月被修复。

转载地址:http://news.secwk.com/article/newinfo/detail/993089640331736230#?sideActiveTab=fast

(责任编辑:腰编辑)

分享到:

更多
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
表情:
  • 微笑/wx
  • 撇嘴/pz
  • 抓狂/zk
  • 流汗/lh
  • 大兵/db
  • 奋斗/fd
  • 疑问/yw
  • 晕/y
  • 偷笑/wx
  • 可爱/ka
  • 傲慢/am
  • 惊恐/jk
用户名: 验证码:点击我更换图片
资料下载专区
图文资讯

网络间谍小组利用Windows热补丁实现恶意软

网络间谍小组利用Windows热补丁实现恶意软件隐身

在亚洲活动的一个网络间谍小组正使用被称为热补丁(Hotpatching)的Windows即时更新特性...[详细]

1.4G与1T 100万与700万:四起大规模泄露事

1.4G与1T 100万与700万:四起大规模泄露事件相继发生

卡塔尔国家银行被黑,1.4GB数据库泄露 近日,一组未知黑客宣称突破了卡塔尔国家银行的...[详细]

福建一小镇成网购诈骗聚集地:骗子躲山里搭

福建一小镇成网购诈骗聚集地:骗子躲山里搭帐篷

5月3日消息,冒充网站客服办理退款套走现金、冒牌好友发来QQ信息急需用钱、PS图片敲诈...[详细]

严打电信诈骗:违规虚商将被暂停分配新号

严打电信诈骗:违规虚商将被暂停分配新号

日前,工信部官微发布消息称,工信部近期下发了《关于加强规范管理,促进移动通信转售...[详细]

团伙伪造某杂志官网骗钱30万元:声称可发表

团伙伪造某杂志官网骗钱30万元:声称可发表论文

用假网页冒充某健康教育杂志官方网站,网站上声称可以发表论文,汇款后却了无音讯。昨...[详细]

返回首页 返回顶部