据外媒报道,英国安全研究员 Henry Hoggard 发现了一种绕过 PayPal 双重身份验证( 2FA )机制的简单方法,允许攻击者在不到一分钟内接管 PayPal 帐户。研究者是在没有电话信号的酒店中,手机无法接收2FA验证码短信的情景下发现了这种方法。在这种情境下,用户可通过点击“尝试其他方式”链接,回答预设安全问题登录。攻击者可以运行代理服务器拦截并保存 PayPal 服务器请求,攻击者只需从 HTTP 请求中删除“ securityQuestion0 ”和“ securityQuestion1 ”参数,即可完成数据篡改并欺骗 PayPal 授予登录账号。 Hoggard 在 10 月 3 日向 PayPal 报告了这个问题,10 月 21 日 PayPal 修复该身份验证漏洞。
稿源:本站翻译整理,封面来源:百度搜索
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
喜欢就支持一下吧
请登录后发表评论
注册