Paypal支付时手机验证无线另一台设备输入验证码码

来源:蜘蛛抓取(WebSpider) 时间:2018-06-21 10:05 标签: 只差一步 输入验证码
无线Wifi网页登录认证页面_图文_百度文库
您的浏览器Javascript被禁用,需开启后体验完整功能,
赠送免券下载特权
10W篇文档免费专享
部分付费文档8折起
每天抽奖多种福利
两大类热门资源免费畅读
续费一年阅读会员,立省24元!
无线Wifi网页登录认证页面
阅读已结束,下载本文需要
想免费下载本文?
定制HR最喜欢的简历
下载文档到电脑,同时保存到云知识,更方便管理
加入VIP
还剩6页未读,
定制HR最喜欢的简历
你可能喜欢PayPal账户如何认证?告诉你2种认证方法-雨果网
热门搜索词
PayPal账户如何认证?告诉你2种认证方法
雨果网作者:雨果网
PayPal账户认证是平台的安全检查措施之一,旨在为买家和卖家保持安全的网络环境。您必须先完成认证,才可以从。
目前有2种方式可以获得认证:
一、确认银联卡(即时认证)
将您的银联卡添加到PayPal账户并选择确认此卡。授权中国银联通过短信向您发送验证码。
无需离开当前页面,即可输入验证码并即时完成认证流程。
1. 登录您的PayPal账户
2. 点击资金选项卡,然后点击关联银行账户
3. 输入您的银联卡详细信息,然后点击添加卡
4. 点击立即确认,银联网站会在新窗口中打开
5. 根据要求输入相关信息,并授权中国银联通过短信向您发送验证码。
在同一页面中输入该验证码,然后点击确定。
二、确认信用卡
将您的Visa或MasterCard信用卡添加到PayPal账户并选择确认此卡。此操作将在2-3个工作日内在您的在线信用卡对账单上生成一个4位数代码。登录到您的PayPal账户,输入代码以完成认证流程。
1. 登录您的PayPal账户
2. 点击资金选项卡,然后点击关联银行账户
3. 输入您的信用卡详细信息,然后点击添加卡
4. 点击确认我的卡。这会生成完成认证所需的4位数验证码
5. 请在2-3个工作日内从您的在线信用卡账单中查询该验证码,然后登录到您的PayPal账户,在“代办事项列表”中点击确认我的借记卡或信用卡
6. 输入您的在线信用卡账单中的4位数验证码,然后点击确认卡,完成PayPal账户认证。
深挖用户“金矿”都有那些绝招?关注雨果网官方微信公众号【cifnews】, 快速抢占行业商机。扫描下方二维码,获取大咖PPT!(获取PPT:雨果网App->圈子->干货铺 )
专业讲师指引开店,行业大咖传授技巧,将淡季做成旺季的成绩,秘诀都在这里。
订阅每周精选
下载雨果网客户端
2013 雨果网 闽ICP备号-1
请正确填写手机号码或邮箱!
请输入内容
扫描二维码下载雨果网APP拒绝访问 | steamcn.com | 百度云加速
请打开cookies.
此网站 (steamcn.com) 的管理员禁止了您的访问。原因是您的访问包含了非浏览器特征(42e5a973df1b43e9-ua98).
重新安装浏览器,或使用别的浏览器打开微信“扫一扫”,打开网页后点击屏幕右上角分享按钮
国外的某白帽子发现了一个可以用来绕过PayPal的双重认证的方法,这个双重认证是用来保护用户帐号安全的.
这位白帽子同学叫做Joshua Rogers,据他说,仅仅知道用户点击eBay或PayPal时的cookie就可以绕过了.如果和PayPal一个”=_integrated-registration”函数有联系的cookie在用户的浏览器会话中存在,那么PayPal的双重认证系统就会被绕过.也就是说攻击者如果能够搞到目标的登陆凭证,那么他就可以直接登录而不需要知道正常登录时需要填写的手机验证码了.
Rogers说他已经向PayPal报告了这个安全问题.如果没有收到回复的话,会将这个漏洞的细节公布出来.他继续写道:
只要你真正登陆成功了,PayPel就会根据你的信息设置一个cookie,同时你会被重定向到一个页面来确认你的信息是否正确.这儿就是exploit产生的地方.运行完exp后,只需要重新加载http://www.paypal.com/,然后就可以登陆进去了.
所以说,真正的bug是”=_integrated-registration”函数绕过了双重认证的代码.
要想登陆进去确实是需要目标用户的密码,但是不是说这个bug是个鸡肋,因为双重认证系统不就是应该抵御攻击者知道了密码后的情况吗?
Roger同样是在一月份的时候向警方报告了一个政府网站漏洞的黑客.他提供了关于这个PayPal漏洞利用的一个视频,(自备梯子)
【via@91ri.org团队]厉害了,word哥!4步轻松绕过PayPal双重验证机制 - FreeBuf互联网安全新媒体平台 | 关注黑客与极客
厉害了,word哥!4步轻松绕过PayPal双重验证机制
共218888人围观
,发现 4 个不明物体
双因子认证(2FA)是指结合密码以及实物(信用卡、SMS手机、令牌或指纹等生物标志)两种条件对用户进行认证的方法。这种方法已经为企业所采用,主要用于增加账户的安全性,更好的保护用户的账户安全。
与其他大多数网络服务商一样,PayPal也为用户提供了双重验证的选项。双重验证的一个特点就是:在用户尝试使用用户名和密码登录账户时,服务器会向用户发送一次性的短信验证码来验证手机。用户需要有手机服务才能接收到服务器发送的验证码。如果没有手机信号,那他们就没有办法接收服务器发送的验证码,换句话说,他们就不能通过标准的双重验证模式登录账户。
然而,英国安全研究专家Henry Hoggard还是发现了一个非常简单的方法来绕过PayPal的双重验证机制。绕过双重验证机制后,黑客可以在一分钟内轻松掌控用户的PayPal账户。
这个方法是Hoggard在一家没有手机服务(就是我们说的没有信号)的酒店内偶然发现的。
Hoggard表示,问题出现在“尝试其他方式”这个链接上。PayPal向帐户所有者提供此选项,以便他们在手机没有信号或设备不在身边的情况下,依然可以使用自己的账户。当出现手机无信号或者设备无法连接的情况时,PayPal便要求用户回答密保问题。
Hoggard发现,如果攻击者运行一个代理服务器,就可以拦截和保存PayPal服务器的请求,这使得攻击者能篡改HTTP数据并欺骗PayPal允许攻击者进入被黑账户。
另外,攻击者需要从HTTP请求中删除“securityQuestion0”和“securityQuestion1”参数。这种攻击对攻击者水平要求并不高,基本上属于入门水平的攻击。
具体步骤:
1.Hoggard登录了他的PayPal账户并点击了“try another way”,他收到了来自PayPal的询问,是否允许PayPal发送一次性2SV验证码给他。
2.Hoggard选择回答密保问题,但他并没有用自己设置的唯一密码,而是在提供的文本框中随便输入了一个密码。
3.在此,Hoggard利用代理,从POST数据中去掉了两个密保问题。
selectOption=SECURITY_QUESTION&securityQuestion0=test&securityQuestion1=test&jsEnabled=1&execution=e2s1&_sms_ivr_continue_btn_label=Continue&_default_btn_lable=Continue&_eventId_continue=Continue
4.然后,发布数据。令人诧异的是,账户居然通过验证了(小编眼睛被辣了,赔钱)。
这是一个真实的案例,并不是在说笑,虽然简单,但非常有用。如果攻击者掌握了受害者的PayPal用户名和密码,他们就可以绕过2SV并登录受害者的账户。
由于这个漏洞具有很大的威胁,Hoggard在今年10月3日将此问题反馈给PayPal,经过缜密的调查后,PayPal已经在10月21日将该漏洞修复。
一般来说,针对各类web服务都应该采用双重认证,以保证进一步的安全性。除此之外, 他们还应该有备选的认证方案,这样,就算在移动设备丢失的情况下,照常能够访问他们的帐户。
*&参考来源:,FB小编latiaojun编译,转载请注明来自FreeBuf.COM
必须您当前尚未登录。
必须(保密)
一尺二的腰围,三尺三的腿长,你们算啥~~
关注我们 分享每日精选文章
可以给我们打个分吗?

我要回帖

更多关于 只差一步 输入验证码 的文章

 

随机推荐