貝寶（PayPal）解決了一個(gè)可被黑客用來(lái)向支付頁(yè)面插入惡意圖像的漏洞問(wèn)題。

安全研究員Aditya K Sood發(fā)現(xiàn)貝寶用戶設(shè)置的支付頁(yè)面的URL中包含一個(gè)名為“image_url”的參數(shù)。這個(gè)參數(shù)的值可被指向一張托管在遠(yuǎn)程服務(wù)器上的圖片URL所替 代。而這種情況能夠允許攻擊者使用第三方廠商的貝寶支付頁(yè)面?zhèn)鞑�惡意圖像。Sood通過(guò)在廠商支付頁(yè)面上展示任意圖像的方法證明了該漏洞的存在，不過(guò)他認(rèn) 為攻擊者可能會(huì)傳播隱藏在圖像中的惡意軟件或利用。

網(wǎng)絡(luò)犯罪分子一直都使用看起來(lái)無(wú)害的圖像文件隱藏惡意軟件。這種技術(shù)曾被Lurk下載器、Neverquest惡意軟件、Stegoloader信息竊取器以及一個(gè)最近由卡巴斯基分析的巴西木馬的開(kāi)發(fā)人員使用過(guò)。

Sood指出，“這是一種不安全的設(shè)計(jì)，因?yàn)樨悓氃试S遠(yuǎn)程用戶將屬于自己的圖像注入到貝寶用于客戶交易的組件中。也就是說(shuō)，攻擊者能否通過(guò)圖像傳播惡意軟件或利用？答案是肯定的。一些利用技術(shù)可實(shí)現(xiàn)這一目的。”

攻擊者能夠通過(guò)讓未經(jīng)驗(yàn)證的用戶點(diǎn)擊特殊編制的鏈接的方式利用這個(gè)漏洞。URL被托管在paypal.com上的事實(shí)增加了受害者打開(kāi)鏈接的可能性。

這個(gè)漏洞于1月份上報(bào)給了貝寶，不過(guò)在這個(gè)月才被修復(fù)。貝寶公司起初表示這個(gè)報(bào)告不具備獲取漏洞獎(jiǎng)勵(lì)的資格，不過(guò)隨后公司決定修復(fù)這一漏洞并為Sood頒發(fā)了1000美元的獎(jiǎng)勵(lì)。

Sood認(rèn)為這是一個(gè)高風(fēng)險(xiǎn)問(wèn)題，而且他對(duì)貝寶公司不同意他的評(píng)估而不滿。貝寶回應(yīng)稱，Sood描述的攻擊場(chǎng)景不可能發(fā)生，因?yàn)閭鞑�惡意軟件有更加�?jiǎn)便的方法，此外表示公司正在積極掃描惡意內(nèi)容。