حيث اكتشف ابراهيم حجازي ثغرة “XSS” في نظام الدفع الآمن في باي بال ، وهذا النظام يستخدم عندما تقوم بالشراء من اي موقع ويمكنك من الدفع اما عبر رصيدك في موقع باي بال او عبر البطاقة الأتمانية مما يتطلب تخزين معلومات الدفع الحساسة .
يقوم المخترق بإنشاء مواقع وهمية للبيع او اختراق مواقع بيع وشراء عالمية لمعرفة معلومات الحسابات والبطاقات .
خطوات استغلال هذه الثغرة :
1- يقوم الهاكرز بإنشاء مواقع وهمية للتسوق .
2- يقوم الهاكرز بإضافة زر الدفع عبر الباي بال “CheckOut” مع اضافة رابط مخفي به ثغرة XSS .
3- عندما يقوم المستخدم بالنقر على الزر لكي يدفع عبر حسابه في PayPal يتم اعادة توجيهه الى صفحة الدفع الآمن .
4- تكون هذه الصفحة صفحة لتصيد الضحايا وذلك بإن يطلب منهم ادخال معلوماتهم .
5- الان عند النقر على زر الدفع لانهاء العملية بدلا ان تدفع سعر السلعة التي تريد شراءها سوف يقوم باي بال بدفع اي مبلغ يطلبه منه الهاكر (المهاجم) .
خطوات استغلال الثغرة بالفيديو :
قام ابراهيم حجازي بإبلاغ فريق حماية PayPal بهذه الثغرة في 19 حزيران والفريق تاكد من هذه الثغرة وقام بإصلاحها في 25 من آب .
دفعت شركة باي بال مبلغ 750 دولار الى ابراهيم حجازي لاكتشافه هذه الثغرة .
تعليقات
إرسال تعليق