轻松绕过PayPal双重认证
国外的某白帽子发现了一个可以用来绕过PayPal的双重认证的方法,这个双重认证是用来保护用户帐号安全的.
这位白帽子同学叫做Joshua Rogers,据他说,仅仅知道用户点击eBay或PayPal时的cookie就可以绕过了.如果和PayPal一个”=_integrated-registration”函数有联系的cookie在用户的浏览器会话中存在,那么PayPal的双重认证系统就会被绕过.也就是说攻击者如果能够搞到目标的登陆凭证,那么他就可以直接登录而不需要知道正常登录时需要填写的手机验证码了.
Rogers说他已经向PayPal报告了这个安全问题.如果没有收到回复的话,会将这个漏洞的细节公布出来.他继续写道:
只要你真正登陆成功了,PayPel就会根据你的信息设置一个cookie,同时你会被重定向到一个页面来确认你的信息是否正确.这儿就是exploit产生的地方.运行完exp后,只需要重新加载http://www.paypal.com/,然后就可以登陆进去了.
所以说,真正的bug是”=_integrated-registration”函数绕过了双重认证的代码.
要想登陆进去确实是需要目标用户的密码,但是不是说这个bug是个鸡肋,因为双重认证系统不就是应该抵御攻击者知道了密码后的情况吗?
Roger同样是在一月份的时候向警方报告了一个政府网站漏洞的黑客.他提供了关于这个PayPal漏洞利用的一个视频,视频链接(自备梯子)
轻松绕过PayPal双重认证相关推荐
- paypal如何认证
认证PayPal账号,意味着你向PayPal提供了额外信息来认证你的身份.认证之后,顾客会认为你的账号更可信,你还有资格获得PayPal卖家保护的种种权益. 认证账号以后,还可以解锁更多功能,让你可以 ...
- 一部手机可以对多个开发者账号开启双重认证吗?
可以,已经验证过 同一个手机是可以的,这个跟手机号没有关系,跟你申请的邮箱有关,邮箱就是你的appid 同一个手机 只能给五个开发者账号开启双重认证 已经试过了 开了五个以后就不会再弹出开启双重了(待 ...
- android域账号认证失败,绕过域账户认证失败锁定次数限制的技巧
原标题:绕过域账户认证失败锁定次数限制的技巧 *本文仅用于教育目的. 切勿在未授权的计算机上进行安全测试. 获取用户帐户密码有很多好方法,这只是另一种方式. 好的,让我们开始吧.核心思路是,用户想要爆 ...
- Apple ID到期续费问题及验证手机(开启双重认证)
在18年3月底苹果更新必须要认证(绑定手机号),先说双重认证 双重认证: 1.一台手机更换Apple ID (一般不会登录公司的账号),iOS10以下设置--->iCloud --->[姓 ...
- 苹果6访问限制密码4位_苹果ios签名:AppleID为什么开启双重认证那么重要
首先,了解"苹果 AppleID"打开双重身份认证的重要性.现在,一些长期使用"苹果"的小型合作伙伴可能知道,打开双重身份认证可以提高AppleID的安全性.苹 ...
- 如何通过手机设置苹果账户的双重认证
现在苹果付费的研发者账号都要开启双重认证.少部分研发者账号没有推送强制开启双重认证通知可能苹果还没有监控到你.若付费的研发者账号被强制安全认真,你登录账号会看到红色的感叹号警告,并且不能下载或生成证书 ...
- appleID有必要开双重认证吗!
我们先了解苹果 AppleID打开双重身份认证的重要性. 现在,一些长期使用"苹果"的小型合作伙伴可能知道,打开双重身份认证可以提高AppleID的安全性. 1.苹果企业签名对苹果 ...
- Apple开启双重认证过程
1.准备 1.1 AppleID账号.密码 1.2 打算用于接收开启双重认证的十一位手机号 1.3 AppleID账号密保问题 2.操作步骤: 2.1 打开设置 2.2 点击个人账户头像 注意:当前有 ...
- 苹果账号开启双重认证,以及如何在移动设备上同时添加私人账号和开发者账号
今天我们就来聊聊苹果对于信息安全的一道重要防线--"双重认证". Apple ID 的双重认证 双重认证是为 Apple ID 提供的一层额外安全保护,旨在确保只有您可以访问自己的 ...
- webview 禁止苹果自动下拉_苹果开发者账号申请必备:双重认证教程!
在此之前,德普船长出过一份苹果开发者账户注册教程(点击跳转教程),其中有小问题,就是苹果账户的双重认证,现在申请苹果开发者账号要求开启双重认证才能提交申请,这一步需要在苹果设备上进行操作,有些小伙伴不 ...
最新文章
- 点云网络的论文理解(三)-点云网络的优化 PointNet++的总体说明
- Linux DHCP原理与配置
- Rabbitmq结合spring示例
- CentOS FireFox Flash Player
- codeforces 906C
- python基础30个常用代码-30个Python常用极简代码,拿走就用
- caffe︱cifar-10数据集quick模型的官方案例
- android mount --bind挂载目录
- 75 ----平面二次曲线方程的化简、移轴变换、转轴变换、伸缩变换
- 使用存储过程创建datawindow
- Android中生成库文件与移除以及导入jar包重复问题
- 值得推荐的C/C++框架和库
- 两个三维向量叉积_三维向量叉乘推导
- 惠普打印机 HP web 服务打不开
- iOS frame与bounds区别详解
- 重构——46令函数携带参数(Parameterize Method)
- Kubernetes——KubeSphere部署worldpress应用
- wps中的格式化快捷键
- ffmpeg 将一个视频裁剪多个部分,然后合并所有的裁剪为一个视频
- 软件测试 Web自动化测试 基础知识 HTML CSS JavaScript
热门文章
- Springboot连接Redis超时问题解决
- 2022年数学建模C题优秀论文
- 一位10年Java工作经验的架构师聊Java和工作经验
- 电子设计教程7:线性稳压电源的工作原理
- 2020年全国城市信息模型(CIM)新政策汇总
- Springboot项目中A component required a bean of type ‘XXX‘ that could not be found解决方法
- Android 计时器Chronometer 使用及源码分析
- 关于项目管理的一些个人见解
- Oracle get、start、edit、spool命令,临时变量、已定义变量
- Ubuntu Server 21.10静态IP地址设置