黑客可通过Paypal传输恶意图像

安全研究员Aditya K Sood发现贝宝用户设置的支付页面的URL中包含一个名为“image_url”的参数。这个参数的值可被指向一张托管在远程服务器上的图片URL所替 代。而这种情况能够允许攻击者使用第三方厂商的贝宝支付页面传播恶意图像。Sood通过在厂商支付页面上展示任意图像的方法证明了该漏洞的存在,不过他认 为攻击者可能会传播隐藏在图像中的恶意软件或利用。

网络犯罪分子一直都使用看起来无害的图像文件隐藏恶意软件。这种技术曾被Lurk下载器、Neverquest恶意软件、Stegoloader信息窃取器以及一个最近由卡巴斯基分析的巴西木马的开发人员使用过。

Sood指出,“这是一种不安全的设计,因为贝宝允许远程用户将属于自己的图像注入到贝宝用于客户交易的组件中。也就是说,攻击者能否通过图像传播恶意软件或利用?答案是肯定的。一些利用技术可实现这一目的。”

攻击者能够通过让未经验证的用户点击特殊编制的链接的方式利用这个漏洞。URL被托管在paypal.com上的事实增加了受害者打开链接的可能性。

这个漏洞于1月份上报给了贝宝,不过在这个月才被修复。贝宝公司起初表示这个报告不具备获取漏洞奖励的资格,不过随后公司决定修复这一漏洞并为Sood颁发了1000美元的奖励。

Sood认为这是一个高风险问题,而且他对贝宝公司不同意他的评估而不满。贝宝回应称,Sood描述的攻击场景不可能发生,因为传播恶意软件有更加简便的方法,此外表示公司正在积极扫描恶意内容。
本文转自d1net(转载)

时间: 2024-09-20 08:50:56

黑客可通过Paypal传输恶意图像的相关文章

魅族Flyme系统遭黑客攻击,大批手机被恶意锁定

近日,有大量魅族用户在Flyme社区.贴吧.微博上反应,手机出现了自动被锁定现象,弹出的窗口显示需联系某QQ号并向他支付80到几百元不等的费用才能解锁. 根据多位魅族手机用户反应来看,锁定状态下用户手机上出现的登陆账号并非用户本人先前使用的账号.手机被锁定的用户试图联系客服找回Flyme账号,但提醒显示其Flyme账号不存在,通过官方申诉等渠道也无法完成. 目前在Flyme社区搜索"锁定"关键词后,已有数千条相关帖子. 通过观察发现,该问题最早出现在9月8日,攻击范围几乎覆盖到魅族的所

黑客大意向微软发送恶意代码

黑客也有粗心大意的时候,比如他们会在不经意间把自己编写的各类病毒.木马.恶意程序的源代码"主动"发送给微软. 微软公司高级安全架构师洛奇-赫克曼(Rocky Heckman)透露,当黑客编写病毒导致自己系统崩溃时,恶意代码经常被发送到微软. 当Windows系统崩溃时,用户一般都会看到一个提醒是否发送错误报告的弹出窗口.Windows会询问是否愿意将错误细节--包括恶意程序代码--发送给微软,有趣的是,很多人会选择发送错误报告. 赫克曼说,你想象不到微软得到了多少内容.赫克曼在Tech

国庆阅兵式首次采用电信3G网络传输视频图像

10月10日消息,北京电信透露了其国庆阅兵式通信保障详情,据悉,本次阅兵式首次采用了其3G视频监控,实现了用3G手机即可灵活掌握监控到的受阅部队车辆和装备在行进过程中的实景情况,这也是3G手机首次在中国阅兵史上发挥重大作用. 首次用3G网络传送阅兵视频图像 今年是3G元年,而国庆通信保障工作中,首次采用了北京电信为受阅部队提供的基于CDMA2000-EVDO技术的3G视频监控服务. 北京电信介绍说,由于准备充分,2009年10月1日凌晨,国庆受阅部队从出发至抵达集结地点的视频图像通过北京电信的E

3G系统实时传输火场图像

(记者 郝涛)昨日,记者从市消防局获悉,用于春节期间烟花爆竹重点燃放地区的10个3G火场图像采集传输系统终端已安装调试完毕,将于春节期间投入使用.该系统装载于消防车辆.消防员随身携带的摄像机上,利用3G手机通信原理将现场图像传输至119指挥中心或指挥车,使消防指挥中心可实时掌握火灾和抢险救援现场动态,准确制定灭火救援方案.

恶意程序传播途径增多 黑客攻击转向Android

硅谷网讯 据美国科技博客TechHive报道,一项新的研究结果表明,针对市场领导者Android平台的恶意程序的功能,非常类似于多年来从Windows PC电脑用户身上捞钱的木马程序. 在周四发布的最新报告<安全威胁发展报告>(Threat Evolution report)中,卡巴斯基实验室(Kaspersky Lab)声称,Android在移动市场上占有将近80%的份额,相当于PC电脑市场上的Windows,占有绝对领导地位. Windows和Android恶意程序的不同在于,后者演变的速

电脑、手机都断网了,还会被黑客入侵吗

  无论是电脑.智能手机.或者是其他的可联网设备,只要连了网络,就意味着已经暴露在安全威胁之中了.尤其是最近几年,间谍技术和各类间谍工具发展迅速,导致黑客组织.情报机构窃取情报的效率越来越高. 现在问题来了:如果电脑.手机都断网了,还会被黑客入侵吗? 具有极强安全意识的电脑专家们会对存有机密性文件的电脑进行特殊设置,电脑会一直处在离线状态,无法连接网络.这种保护数据安全的技术叫做air-gapping(气隙系统),电脑会被完全隔离,不与互联网以及任何其他互联网设备连接. 这是目前保护机密数据最为

如何配置使用 HTTP 严格传输安全(HSTS)

如何配置使用 HTTP 严格传输安全(HSTS) HTTP 严格传输安全(HSTS)是一种安全功能,web 服务器通过它来告诉浏览器仅用 HTTPS 来与之通讯,而不是使用 HTTP.本文会说明如何在 Apache2.Nginx 和 Lighttpd 上如何启用 HSTS.在主流的 web 服务器上测试通过: Nginx 1.1.19. Lighttpd 1.4.28 和 Apache 2.2.22 ,环境为 Ubuntu 12.04. Debian 6 & 7 和 CentOS 6,只需要调整

利用VC++实现局域网实时视频传输

引言 在局域网内部实时传输视频已经得到广泛应用.现在用以传输视频的局域网大多数是有线局域网,因为有线局域网技术成熟,传输速度快,稳定性好.但是视频数据量大,有线网络也会出现工作不稳定,引起数据堵塞,时间久了会导致严重的延迟现象:如果工作的环境不固定,要求移动性,那么就要采用无线网络,如今无线网卡的工作随环境的变化而变得不稳定,这样会导致视频传输的质量大幅度下降,容易引起画面的重影.抖动.花屏等现象.本文针对不同的局域网,提出一种通用的实时视频传输的解决方案,使用VC++自封装的Windows V

ADSL用户如何防御黑客攻击

正因为我们对电脑的依赖程度如此之深,信息安全问题也越来越多地受到关注.在网络技术如此发达的今天,民间的一些网络"黑客"们可以轻而易举地窃取我们的私人信息.使用电脑的朋友都希望自己的电脑能够安全点,虽然有很多用电脑的都是电脑小白,但是,有谁不希望自己的电脑安全性能高点呢?下面小编教大家几个简单的电脑设置,让你的电脑远离黑客. 拒绝恶意代码 恶意网页成了宽带的最大威胁之一.以前使用Modem,因为打开网页的速度慢,在完全打开前关闭恶意网页还有避免中招的可能性.现在宽带的速度这么快,所以很容