Paypal漏洞可引發點擊劫持攻擊，竊取用戶帳戶金錢

一名研究人員發現Paypal平臺有個漏洞，可能讓攻擊者發動點擊劫持（clickjacking），竊取用戶帳戶中的錢。

代號h4x0r_dz的研究人員去年10月向Paypal通報這項漏洞。

點擊劫持是一種攻擊手法，攻擊者在網頁中將惡意程式碼等隱藏在看似無害的網頁內容中，例如加一層或好幾層透明層，再誘使用戶點擊他們以為的合法功能如按鍵或連結，旨在將用戶導向惡意網站以洩露帳密敏感資訊或下載惡意程式。這種手法又被稱為使用者介面偽裝（UI redressing）。

h4x0r_dz發現到Paypal網站有個端點www[.]paypal.com/agreements/approve，可被用來進行點擊劫持。它是允許用戶同意付費的計費協定，本來只應接受billingAgreementToken，但他發現也可以上傳其他token，使用戶被導向他持有的網頁，藉此獲取用戶資訊。

研究人員表示，攻擊者可將這有問題的端點包在iFrame中，使受害者以瀏覽器登入，就能獲取用戶Paypal帳密，而將用戶Paypal財產轉到攻擊者持有的Paypal帳號，或是利用受害者的帳號支付任何服務費用。

研究人員目的是通報漏洞賺取抓漏獎金，不過Paypal似乎並未回應研究人員的通報。The Hacker News報導，該漏洞迄今尚未修補。但是研究人員公佈的端點已經無法使用，似乎已被關閉。文⊙林妍溱（5月26日更新資訊：後續The Hacker News更正報導內容，說明提到該漏洞仍未修補，並且安全研究人員沒有因通報該漏洞而獲得漏洞獎勵獎金一事是不正確的。文⊙iThome電腦報資安主編羅正漢）