日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問(wèn)題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案
厲害了,word哥!4步輕松繞過(guò)PayPal雙重驗(yàn)證機(jī)制

雙因子認(rèn)證(2FA)是指結(jié)合密碼以及實(shí)物(信用卡、SMS手機(jī)、令牌或指紋等生物標(biāo)志)兩種條件對(duì)用戶進(jìn)行認(rèn)證的方法。這種方法已經(jīng)為企業(yè)所采用,主要用于增加賬戶的安全性,更好的保護(hù)用戶的賬戶安全。

創(chuàng)新互聯(lián)公司專注于企業(yè)成都全網(wǎng)營(yíng)銷、網(wǎng)站重做改版、廣平網(wǎng)站定制設(shè)計(jì)、自適應(yīng)品牌網(wǎng)站建設(shè)、HTML5、商城建設(shè)、集團(tuán)公司官網(wǎng)建設(shè)、成都外貿(mào)網(wǎng)站建設(shè)公司、高端網(wǎng)站制作、響應(yīng)式網(wǎng)頁(yè)設(shè)計(jì)等建站業(yè)務(wù),價(jià)格優(yōu)惠性價(jià)比高,為廣平等各大城市提供網(wǎng)站開發(fā)制作服務(wù)。

與其他大多數(shù)網(wǎng)絡(luò)服務(wù)商一樣,PayPal也為用戶提供了雙重驗(yàn)證的選項(xiàng)。雙重驗(yàn)證的一個(gè)特點(diǎn)就是:在用戶嘗試使用用戶名和密碼登錄賬戶時(shí),服務(wù)器會(huì)向用戶發(fā)送一次性的短信驗(yàn)證碼來(lái)驗(yàn)證手機(jī)。用戶需要有手機(jī)服務(wù)才能接收到服務(wù)器發(fā)送的驗(yàn)證碼。如果沒有手機(jī)信號(hào),那他們就沒有辦法接收服務(wù)器發(fā)送的驗(yàn)證碼,換句話說(shuō),他們就不能通過(guò)標(biāo)準(zhǔn)的雙重驗(yàn)證模式登錄賬戶。

然而,英國(guó)安全研究專家Henry Hoggard還是發(fā)現(xiàn)了一個(gè)非常簡(jiǎn)單的方法來(lái)繞過(guò)PayPal的雙重驗(yàn)證機(jī)制。繞過(guò)雙重驗(yàn)證機(jī)制后,黑客可以在一分鐘內(nèi)輕松掌控用戶的PayPal賬戶。

這個(gè)方法是Hoggard在一家沒有手機(jī)服務(wù)(就是我們說(shuō)的沒有信號(hào))的酒店內(nèi)偶然發(fā)現(xiàn)的。

Hoggard表示,問(wèn)題出現(xiàn)在“嘗試其他方式”這個(gè)鏈接上。PayPal向帳戶所有者提供此選項(xiàng),以便他們?cè)谑謾C(jī)沒有信號(hào)或設(shè)備不在身邊的情況下,依然可以使用自己的賬戶。當(dāng)出現(xiàn)手機(jī)無(wú)信號(hào)或者設(shè)備無(wú)法連接的情況時(shí),PayPal便要求用戶回答密保問(wèn)題。

Hoggard發(fā)現(xiàn),如果攻擊者運(yùn)行一個(gè)代理服務(wù)器,就可以攔截和保存PayPal服務(wù)器的請(qǐng)求,這使得攻擊者能篡改HTTP數(shù)據(jù)并欺騙PayPal允許攻擊者進(jìn)入被黑賬戶。

另外,攻擊者需要從HTTP請(qǐng)求中刪除“securityQuestion0”和“securityQuestion1”參數(shù)。這種攻擊對(duì)攻擊者水平要求并不高,基本上屬于入門水平的攻擊。

具體步驟:

1.Hoggard登錄了他的PayPal賬戶并點(diǎn)擊了“try another way”,他收到了來(lái)自PayPal的詢問(wèn),是否允許PayPal發(fā)送一次性2SV驗(yàn)證碼給他。

2.Hoggard選擇回答密保問(wèn)題,但他并沒有用自己設(shè)置的唯一密碼,而是在提供的文本框中隨便輸入了一個(gè)密碼。

3.在此,Hoggard利用代理,從POST數(shù)據(jù)中去掉了兩個(gè)密保問(wèn)題。

 
 
 
 
      
  
  
  
  1. selectOption=SECURITY_QUESTION&securityQuestion0=test&securityQuestion1=test&jsEnabled=1&execution=e2s1&_sms_ivr_continue_btn_label=Continue&_default_btn_lable=Continue&_eventId_continue=Continue 
    2.

4.然后,發(fā)布數(shù)據(jù)。令人詫異的是,賬戶居然通過(guò)驗(yàn)證了(小編眼睛被辣了,賠錢)。

這是一個(gè)真實(shí)的案例,并不是在說(shuō)笑,雖然簡(jiǎn)單,但非常有用。如果攻擊者掌握了受害者的PayPal用戶名和密碼,他們就可以繞過(guò)2SV并登錄受害者的賬戶。

由于這個(gè)漏洞具有很大的威脅,Hoggard在今年10月3日將此問(wèn)題反饋給PayPal,經(jīng)過(guò)縝密的調(diào)查后,PayPal已經(jīng)在10月21日將該漏洞修復(fù)。

一般來(lái)說(shuō),針對(duì)各類web服務(wù)都應(yīng)該采用雙重認(rèn)證,以保證進(jìn)一步的安全性。除此之外, 他們還應(yīng)該有備選的認(rèn)證方案,這樣,就算在移動(dòng)設(shè)備丟失的情況下,照常能夠訪問(wèn)他們的帳戶。


本文標(biāo)題:厲害了,word哥!4步輕松繞過(guò)PayPal雙重驗(yàn)證機(jī)制
文章網(wǎng)址:http://www.dlmjj.cn/article/dhoshjj.html