为了表彰举报可能导致用户密码泄露给黑客的安全漏洞,PayPal 向道德黑客 Alex Brisan 支付了 15,300 美元的漏洞赏金。PayPal公开承认,研究员 Brisan 发现了该漏洞并向其报告。
Brisan 于 1 月 8 日报告了此次漏洞,然而PayPal自 12 月以来就已经修复了该漏洞,但仍然奖励了 Brisan。
道德黑客,也称为白帽黑客,是信息安全专家,他们matic地尝试代表计算机系统、网络、应用程序或其他计算资源的所有者(并在其许可下)渗透这些资源,以发现恶意黑客可能利用的安全漏洞。
(即登录表单)出现了一个严重漏洞
PayPal的漏洞
据布里桑称,他注意到一个 JavaScript (JS) 文件中包含疑似跨站请求伪造 (CSRF) 令牌和会话 ID 的内容。布里桑表示,在合法的 JavaScript 文件中提供任何会话数据,通常都会导致攻击者获取这些数据。
同样, PayPal 也证实,ReCaptcha 实现所使用的一个 JS 文件中存在敏感的唯一令牌泄露问题。在某些情况下,用户在完成身份验证后需要解决验证码挑战,而 PayPal 指出,泄露的令牌被用于 POST 请求以解决验证码挑战。
PayPal 还证实,用户在完成验证码验证后,还需要访问另一个(恶意)网站并输入其 PayPaldent凭据。这样,黑客就能完成安全挑战,并生成身份验证请求重放以显示密码。
PayPal进一步解释说,只有当用户点击恶意网站上的登录链接时,才会发生这种情况。.
道德黑客的连接平台
HackerOne组织提供了一个平台,将道德黑客与那些为在其软件、服务或产品中发现的漏洞支付奖励的组织联系起来。.
据报道,一名黑客成功入侵了HackerOne平台,并从中获利 2 万美元。
除此之外,还有一些黑客竞赛,鼓励道德黑客参与,寻找潜在的安全漏洞。其中一项名为 Pwn2Own 的黑客竞赛将于三月举行,任何能够破解特斯拉 Model 3 电动汽车的人都将获得 70 万美元奖金和一辆全新的特斯拉 Model 3。
苹果公司也已确认,任何破解 iPhone 的人都将获得 150 万美元的奖励。
题图来自Pixabay
