PayPal确认存在安全漏洞，并向道德黑客支付赏金

为了表彰举报可能导致用户密码泄露给黑客的安全漏洞，PayPal 向道德黑客 Alex Brisan 支付了 15,300 美元的漏洞赏金。PayPal 公开承认，研究员 Brisan 发现了该漏洞并向其报告。

Brisan 于 1 月 8 日报告了此次漏洞，然而 PayPal 自 12 月以来就已经修复了该漏洞，但仍然奖励了 Brisan。

道德黑客，也称为白帽黑客，是信息安全专家，他们matic地尝试代表计算机系统、网络、应用程序或其他计算资源的所有者（并在其许可下）渗透这些资源，以发现恶意黑客可能利用的安全漏洞。

布里桑在公开披露中写道，事件起因是PayPal访问量最高的页面之一（即登录表单）出现了一个严重漏洞。他在探索PayPal的主要身份验证流程时发现了这个漏洞。

PayPal的漏洞

据布里桑称，他注意到一个 JavaScript (JS) 文件中包含疑似跨站请求伪造 (CSRF) 令牌和会话 ID 的内容。布里桑表示，在合法的 JavaScript 文件中提供任何会话数据，通常都会导致攻击者获取这些数据。

同样， PayPal 也 证实，ReCaptcha 实现所使用的一个 JS 文件中存在敏感的唯一令牌泄露问题。在某些情况下，用户在完成身份验证后需要解决验证码挑战，而 PayPal 指出，泄露的令牌被用于 POST 请求以解决验证码挑战。

PayPal 还证实，用户在完成验证码验证后，还需要访问另一个（恶意）网站并输入其 PayPaldent凭据。这样，黑客就能完成安全挑战，并生成身份验证请求重放以显示密码。

PayPal进一步解释说，只有当用户点击恶意网站上的登录链接时，才会发生这种情况。.

道德黑客的连接平台

为了促进网络安全， HackerOne组织提供了一个平台，将道德黑客与那些为在其软件、服务或产品中发现的漏洞支付奖励的组织联系起来。.

据报道，一名黑客成功入侵了 HackerOne 平台，并从中获利 2 万美元。

除此之外，还有一些黑客竞赛，鼓励道德黑客参与，寻找潜在的安全漏洞。其中一项名为 Pwn2Own 的黑客竞赛将于三月举行，任何能够破解特斯拉 Model 3 电动汽车的人都将获得 70 万美元奖金和一辆全新的特斯拉 Model 3。

苹果公司也已确认，任何破解 iPhone 的人都将获得 150 万美元的奖励。

题图来自 Pixabay