متابعة ماكس نيوز
PayPal…يدعي أحد الباحثين الأمنيين أنه اكتشف ثغرة أمنية في خدمة تحويل الأموال في PayPal والتي يمكن أن تسمح للمهاجمين بخداع الضحايا لإكمال المعاملات الموجهة للمهاجمين بشكل غير مدرك بنقرة واحدة.
يشير ClickJacking ، الذي يطلق عليه أيضًا UI Repressing ، إلى تقنية يتم فيها خداع مستخدم غير مرغوب فيه للنقر على عناصر صفحة ويب غير ضارة على ما يبدو مثل الأزرار بهدف تنزيل البرامج الضارة ، أو إعادة توجيه مواقع الويب الخبيثة ، أو الكشف عن معلومات حساسة.
يتم تحقيق ذلك عادةً من خلال عرض صفحة غير مرئية أو عنصر HTML أعلى الصفحة المرئية ، مما يؤدي إلى سيناريو حيث ينخدع المستخدمون بالتفكير في أنهم ينقرون على الصفحة المشروعة عندما ينقرون في الواقع على العنصر المارق فوقه.
“وهكذا ، فإن المهاجم هو نقرات” الاختطاف “المخصصة للصفحة (الشرعية) وتوجيهها إلى صفحة أخرى ، على الأرجح مملوكة لتطبيق أو مجال آخر أو كليهما”.
https://www.youtube.com/watch؟v=0H85N5NE_AC
وقال H4X0R_DZ ، الذي اكتشف المشكلة على “www.paypal (.) com/expenments/exptrve” ، إن القضية قد تم إبلاغ الشركة في أكتوبر 2021.
“تم تصميم نقطة النهاية هذه لاتفاقات الفواتير ويجب أن تقبل فقط الفواتير ،” أوضح الباحث.
“لكن خلال الاختبار العميق ، وجدت أنه يمكننا تمرير نوع رمز آخر ، وهذا يؤدي إلى سرقة الأموال من (أ) حساب PayPal الضحية.”
هذا يعني أن الخصم يمكن أن يدمج نقطة النهاية المذكورة أعلاه داخل IFRAME ، مما تسبب في تسجيل ضحية بالفعل في متصفح الويب لنقل الأموال إلى حساب PayPal الذي يسيطر عليه المهاجم ببساطة بنقرة زر واحدة.
والأمر الأكثر فيما يتعلق ، كان من الممكن أن يكون للهجوم عواقب وخيمة في البوابات عبر الإنترنت التي تتكامل مع PayPal للحصول على عمليات الخروج ، مما يتيح للممثل الضار خصم مبالغ تعسفية من حسابات PayPal للمستخدمين.
وقال H4X0R_DZ: “هناك خدمات عبر الإنترنت تتيح لك إضافة رصيد باستخدام PayPal إلى حسابك”.
“يمكنني استخدام نفس الاستغلال وإجبار المستخدم على إضافة أموال إلى حسابي ، أو يمكنني استغلال هذا الخطأ والسماح للضحية بإنشاء/دفع حساب Netflix بالنسبة لي!”
(تحديث: تم تصحيح القصة لذكر أن الخطأ لا يزال غير مرغوب فيه وأن الباحث الأمني لم يمنح أي مكافأة خطأ للإبلاغ عن المشكلة.
لقد تم الندم على الخطأ. لقد تواصلنا أيضًا مع PayPal لمزيد من التفاصيل.)
