PayPal面临新的安全漏洞威胁

关键要点

• 清楚明白地指出PayPal存在未打补丁的安全漏洞，可能导致点击劫持攻击。
• 安全研究员h4x0r_dz发现，可以利用漏洞在特定页面窃取用户资金。
• 研究者强调这一漏洞可能会被用来迫使用户将资金转移到攻击者控制的账户。

最近，安全研究人员发现PayPal的资金转移服务中存在一项未打补丁的安全漏洞，这使得攻击者可能会利用该漏洞实施。这种攻击方式通过欺骗目标与网页元素进行交互，触发恶意活动。根据的报道，安全研究员h4x0r_dz识别出在“www.paypal[.]com/agreements/approve”页面上使用了点击劫持技术，并在去年十月报告了该问题。

h4x0r_dz表示：“这个端点是为账单协议设计的，应该只接受billingAgreementToken。但在我的深入测试中，我发现我们可以传递另一种令牌类型，这导致从受害者的PayPal账户中盗取资金。”这项发现表明，该端点可能被嵌入iframe中，允许资金转移到由攻击者控制的账户。研究人员还指出：“现在有一些在线服务允许你使用PayPal给你的账户充值。我可以利用同样的漏洞，强迫用户给我的账户充值，或者通过这个错误让受害者为我创建/支付Netflix账户！”

这种潜在的安全风险对PayPal用户构成威胁，因此用户在使用其服务时应保持警惕，并关注可能的安全更新。