在这篇文章中,我想分享一个非常简单的逻辑缺陷,我发现今年早些时候,我已经找到了一种方法来规避移动验证,利用不同的门户网站登录到一个paypal帐户。该缺陷在于,在所有不同的门户网站登录到一个paypal帐户,可以不执行2步验证/授权检查。理想情况下,应该有一个集中的认证机构来认证用户或其他额外的授权检查已被应用到各种不同的门户网站,用于登录到PayPal帐户。
在这种情况下,我们可以使用移动激活页面来登录到paypal账户,而不是使用手机。
链接地址:https://www.paypal.com/us/cgi-bin/?cmd=_mobile-activate-outside
示范
不幸的是,该漏洞被标记为重复,所以这是一个不能获得奖励的漏洞,但是,这真的不重要,研究的乐趣和过程中的学习更重要。然而,还有其他方式规避移动验证,但是我不想报告。
绕过支付限制
当你绕过了paypal,可能限制你转移资金从一个账户到另一个帐户。然而,有一个简单的方式绕过它,你所要做的是在paypal上创建一个捐赠按钮或任何其他付款按钮,然后直接使用它来转移钱,paypal不会对其执行任何限制。
示范
链接地址:https://www.paypal.com/id/cgi-bin/webscr?cmd=_flow&SESSION=OvGwImW-aZGi7_Jf-oBOYlXFljX6KfnUMxeUoxyow7Woq8ZZYb7SihFpKQy&dispatch=50a222a57771920b6a3d7b606239e4d529b525e0b7e69bf0224adecfb0124e9b61f737ba21b08198d1a93361f052308ac20c1249d8113f4c