由于报告了可能导致用户密码被黑客泄露的安全漏洞,Paypal 向道德黑客 Alex Brisan 支付了 15,300 美元(15,300 美元)的漏洞赏金。 Paypal 公开承认,研究员 Brisan 发现了该漏洞并向他们报告。
Brisan 于 1 月 8 日报告了这一违规行为,但PayPal自 12 月以来已修复了该故障,但仍对 Brisan 进行了奖励。
道德黑客,也称为白帽黑客,是一种信息安全专家,他在matic上试图代表其所有者(并在他们的许可下)渗透计算机系统、网络、应用程序或其他计算资源,以发现恶意黑客可能存在的安全漏洞。
Brisan 在他的公开披露中写道,所发生的事情是一个高严重性错误,影响了 PayPal 访问量最大的页面之一,涉及登录表单。 他在探索 PayPal 的主要身份验证流程时发现了这一漏洞。
PayPal的漏洞
Brisan 表示,他的注意力被 JavaScript (JS) 文件包含看起来像跨站点请求伪造 (CSRF) 令牌和会话 ID 的内容所吸引。 Birsan 说,在有效的 javascript 文件中提供任何会话数据通常会导致攻击者能够检索到这些数据。
同样, PayPal确认 ReCaptcha 实现使用的 JS 文件中存在敏感、独特的令牌被泄露的情况。 在某些情况下,用户必须在身份验证后解决验证码挑战,PayPal 指出,暴露的令牌在 POST 请求中用于解决验证码。
PayPal 还确认,在解决验证码后,用户需要访问另一个(恶意)网站并输入他们的 PayPaldent。 这将使黑客能够完成安全质询,然后生成身份验证请求重播以显示密码。
PayPal 进一步解释说,然而,只有当用户点击来自恶意网站的登录链接时才会发生暴露。.
道德黑客连接平台
HackerOne组织提供了一个平台,将道德黑客与为在其软件、服务或产品中发现的漏洞支付奖励的组织联系起来.
据报道,一名黑客成功破解了HackerOne平台,并为自己赚取了 20,000 美元。
除此之外,还有黑客竞赛,鼓励道德黑客参与寻找可能的安全漏洞。 其中一场 Pwn2Own 黑客竞赛将于 3 月份举行,任何能够破解 Tesla Model 3 电动汽车的人都将获得 70 万美元和一辆全新 Tesla Model。
苹果还确认,任何破解 iPhone 的人都将获得 150 万美元的奖励。
精选图片来自Pixabay
