貝寶（PayPal）解決了一個可被黑客用來向支付頁面插入惡意圖像的漏洞問題。

安全研究員Aditya K Sood發現貝寶用戶設置的支付頁面的URL中包含一個名為“image_url”的參數。這個參數的值可被指向一張托管在遠程服務器上的圖片URL所替 代。而這種情況能夠允許攻擊者使用第三方廠商的貝寶支付頁面傳播惡意圖像。Sood通過在廠商支付頁面上展示任意圖像的方法證明了該漏洞的存在，不過他認 為攻擊者可能會傳播隱藏在圖像中的惡意軟件或利用。

網絡犯罪分子一直都使用看起來無害的圖像文件隱藏惡意軟件。這種技術曾被Lurk下載器、Neverquest惡意軟件、Stegoloader信息竊取器以及一個最近由卡巴斯基分析的巴西木馬的開發人員使用過。

Sood指出，“這是一種不安全的設計，因為貝寶允許遠程用戶將屬于自己的圖像注入到貝寶用于客戶交易的組件中。也就是說，攻擊者能否通過圖像傳播惡意軟件或利用？答案是肯定的。一些利用技術可實現這一目的。”

攻擊者能夠通過讓未經驗證的用戶點擊特殊編制的鏈接的方式利用這個漏洞。URL被托管在paypal.com上的事實增加了受害者打開鏈接的可能性。

這個漏洞于1月份上報給了貝寶，不過在這個月才被修復。貝寶公司起初表示這個報告不具備獲取漏洞獎勵的資格，不過隨后公司決定修復這一漏洞并為Sood頒發了1000美元的獎勵。

Sood認為這是一個高風險問題，而且他對貝寶公司不同意他的評估而不滿。貝寶回應稱，Sood描述的攻擊場景不可能發生，因為傳播惡意軟件有更加簡便的方法，此外表示公司正在積極掃描惡意內容。

測騰代碼衛士/文