貝寶（PayPal）解決了一個可被黑客用來向支付頁面插入惡意圖像的漏洞問題。

安全研究員Aditya K Sood發(fā)現(xiàn)貝寶用戶設(shè)置的支付頁面的URL中包含一個名為“image_url”的參數(shù)。這個參數(shù)的值可被指向一張托管在遠(yuǎn)程服務(wù)器上的圖片URL所替 代。而這種情況能夠允許攻擊者使用第三方廠商的貝寶支付頁面?zhèn)鞑�惡意圖像。Sood通過在廠商支付頁面上展示任意圖像的方法證明了該漏洞的存在，不過他認(rèn) 為攻擊者可能會傳播隱藏在圖像中的惡意軟件或利用。

網(wǎng)絡(luò)犯罪分子一直都使用看起來無害的圖像文件隱藏惡意軟件。這種技術(shù)曾被Lurk下載器、Neverquest惡意軟件、Stegoloader信息竊取器以及一個最近由卡巴斯基分析的巴西木馬的開發(fā)人員使用過。

Sood指出，“這是一種不安全的設(shè)計，因?yàn)樨悓氃试S遠(yuǎn)程用戶將屬于自己的圖像注入到貝寶用于客戶交易的組件中。也就是說，攻擊者能否通過圖像傳播惡意軟件或利用？答案是肯定的。一些利用技術(shù)可實(shí)現(xiàn)這一目的。”

攻擊者能夠通過讓未經(jīng)驗(yàn)證的用戶點(diǎn)擊特殊編制的鏈接的方式利用這個漏洞。URL被托管在paypal.com上的事實(shí)增加了受害者打開鏈接的可能性。

這個漏洞于1月份上報給了貝寶，不過在這個月才被修復(fù)。貝寶公司起初表示這個報告不具備獲取漏洞獎勵的資格，不過隨后公司決定修復(fù)這一漏洞并為Sood頒發(fā)了1000美元的獎勵。

Sood認(rèn)為這是一個高風(fēng)險問題，而且他對貝寶公司不同意他的評估而不滿。貝寶回應(yīng)稱，Sood描述的攻擊場景不可能發(fā)生，因?yàn)閭鞑�惡意軟件有更加簡便的方法，此外表示公司正在積極掃描惡意內(nèi)容。