轻松绕过PayPal双重认证

国外的某白帽子发现了一个可以用来绕过PayPal的双重认证的方法,这个双重认证是用来保护用户帐号安全的.

这位白帽子同学叫做Joshua Rogers,据他说,仅仅知道用户点击eBay或PayPal时的cookie就可以绕过了.如果和PayPal一个”=_integrated-registration”函数有联系的cookie在用户的浏览器会话中存在,那么PayPal的双重认证系统就会被绕过.也就是说攻击者如果能够搞到目标的登陆凭证,那么他就可以直接登录而不需要知道正常登录时需要填写的手机验证码了.

Rogers说他已经向PayPal报告了这个安全问题.如果没有收到回复的话,会将这个漏洞的细节公布出来.他继续写道:

只要你真正登陆成功了,PayPel就会根据你的信息设置一个cookie,同时你会被重定向到一个页面来确认你的信息是否正确.这儿就是exploit产生的地方.运行完exp后,只需要重新加载http://www.paypal.com/,然后就可以登陆进去了.
所以说,真正的bug是”=_integrated-registration”函数绕过了双重认证的代码.
要想登陆进去确实是需要目标用户的密码,但是不是说这个bug是个鸡肋,因为双重认证系统不就是应该抵御攻击者知道了密码后的情况吗?
Roger同样是在一月份的时候向警方报告了一个政府网站漏洞的黑客.他提供了关于这个PayPal漏洞利用的一个视频,视频链接(自备梯子)

【via@91ri.org团队]