簡述
一名研究人員在 PayPal 的匯款服務中發現了一個未修補的漏洞，可允許攻擊者發動點擊劫持（Clickjacking），讓駭客可透過單擊來誘騙受害者在不知不覺中完成攻擊者指導的交易。

 

點擊劫持
也被稱為UI 修復，是指能讓不知情的用戶被誘騙，點擊看似無害的網頁元素（如按鈕）的技術，目的是下載惡意軟件、重定向到惡意網站或洩露敏感信息。一般是通過在可見頁面頂部顯示不可見頁面或 HTML 元素來實現的，這會導致用戶誤以為他們正在單擊合法頁面，而實際上他們正在單擊覆蓋在其上的惡意元素。

 

攻擊手法
研究人員 h4x0r_dz 是在 Paypal 網站的端點 www[.]paypal.com/agreements/approve 上發現這個問題。這個端點是允許用戶同意付費的計費協定，本來只應接受billingAgreementToken，但他發現也可以上傳其他 token，這將導致用戶被導向其他網頁，藉此獲取用戶資訊。

這意味著攻擊者可以將上述端點嵌入 iframe 中，導致已經登錄 Web 瀏覽器的受害者只需單擊按鈕即可將資金轉移到攻擊者控制的 PayPal 帳戶。

更令人擔憂的是，此攻擊可能會對與 PayPal 集成以進行結賬的在線門戶網站造成災難性後果，從而使駭客能夠從用戶的 PayPal 賬戶中扣除任意金額。

 

參考資料：
https://www.ithome.com.tw/news/151117
https://thehackernews.com/2022/05/paypal-pays-hacker-200000-for.html