728x90
- 해외 인터넷 사이트의 상품 결제 서비스를 제공하는 PayPal 시스템의 사용자 결재 계정을 탈취할 수 있는
취약점이 공개됨
주요내용
- 해외 쇼핑몰에서 직접 물건을 구매하는 직구족들이 결재를 위해 사용하는 PayPal 서비스의 CSRF 공격 방지
시스템을 우회하여 결재 계정을 탈취할 수 있는 취약점이 공개됨
※ CSRF(Cross-Site Request Forgery) : 웹 사이트의 취약점 공격의 하나로, 사용자가 자신의 의지와는
무관하게 공격자가 의도한 행위(수정, 삭제, 등록 등)를 특정 웹 사이트에 요청하게 하는 공격 - PayPal의 CSRF 인증 시스템 우회를 통한 계정 탈취 방법
- CSRF 시스템의 인증을 얻기 위해서 사용자는 한 번의 인증 Request를 시스템에 전송하게 되는데 이 Requ-
est의 body부분에 사용자의 이메일 주소나, ID와 같은 인증을 위한 토큰들이 포함
- 공격자는 로그아웃한 사용자의 인증 토큰을 재사용하여 PayPal 시스템에 결제 메시지(Send Money)라는
변조된 Request를 전송
- Request를 수신한 PayPal 시스템에서는 해당 사용자의 인증 토큰에 맞는 패스워드를 Response함으로써
공격자는 특정 사용자의 세션을 탈취함
< 로그아웃한 사용자의 유효 인증 토큰 생성 >
- 패스워드 보안 질문 우회를 이용한 계정 탈취 방법
- PayPal 시스템에 초기 가입 시 패스워드 보안 질문을 설정하는 Request가 암호화 되지 않고 평문으로 전송
※ 패스워드 보안 질문 : 패스워드 분실 시 시스템에 본인 확인을 인증받기 위한 절차
- 공격자는 이를 악용하여 보안 질문 Request를 변조함으로써 추후 변조 된 보안 질문을 이용하여 특정
사용자의 계정 정보를 탈취
< 패스워드로 보호 되지 않고 전송 되는 보안 질문 설정 Requset >
[출처]
1. SOPHOS, 2014.12.05.https://nakedsecurity.sophos.com/2014/12/05/all-paypal-accounts-were-1-click-away-from-hijacking/?utm_source=Naked%2520Security%2520-%2520Feed
2. Yasser Ali’s Blog, 2014.10.09.http://yasserali.com/hacking-paypal-accounts-with-one-click/
728x90
'Security_News > 해외보안소식' 카테고리의 다른 글
| 시리아 전자부대(Syrian Electronic Army) 해커그룹, 유명 뉴스 웹사이트 해킹 (0) | 2014.12.17 |
|---|---|
| 기존의 Dexter, Chewbacca의 특성을 이용하는 새로운 유형의 'LusyPOS' 악성코드 발견 (0) | 2014.12.17 |
| 소니픽처스 해킹 악성코드, 6.25 사이버테러 때와 일치 (0) | 2014.12.17 |
| 2015년 가장 인기 있는 IT 기술분야 TOP 10 (0) | 2014.12.17 |
| 터키 석유 송유관에 대한 사이버공격 (0) | 2014.12.15 |