埃及安全研究员Ebrahim Hegazy在Paypal支付网站上发现一个关键存储型XSS漏洞，该漏洞可允许攻击者窃取你的登录凭证，甚至以明文格式盗取用户信用卡信息！

About Paypal

Paypal，大陆称之为贝宝，是倍受全球亿万用户追捧的国际贸易支付工具，即时支付，即时到账。（美国版支付宝）

SecurePayments支付页面

SecurePayments被设计为用户在任何网站购买商品时用作安全支付验证。

用户选好商品之后会进入支付页面（同支付宝流程），用户必须在这个页面中输入自己信用卡的相关信息才能完成支付。需要填写的信息有：信用卡号码，CVV2，有效期等。Paypal的SecurePayments页面采用HTTPS加密通道传输用户提交的数据，保护用户的数据安全。

但是，安全研究员Ebrahim Hegazy表示：攻击者可通过建立一个恶意在线商店或者是对合法购物网站进行劫持，然后再利用该漏洞窃取用户的登录凭证和信用卡信息。

漏洞利用攻击场景：

1.攻击者建立一个购物网站或入侵、劫持任何购物网站；
2.通过Paypal的漏洞修改“CheckOut”按钮；
3.Paypal用户浏览恶意购物网站，点击“付款”按钮，使用Paypal账户支付,接着用户将会被重定向到 
4.该页面实际上是一个钓鱼页面:要求受害者输入支付信用卡信息来完成支付；5.信息输入完成后，点击提交按钮,完成支付。事实上成交的价格并不是支付显示的价格（100美元）,你支付金额的多少完全取决于攻击者！

POC演示视频：

‍Hegazy荣获XSS类型漏洞的最高奖金

作为一名白帽子，安全研究员已将这个漏洞报告给Paypal，而且Paypal也已经修复了该漏洞。

基于Hegazy发现的漏洞，PayPal公司给予了他750美金的奖励。需注意的是，这是PayPal公司对于XSS漏洞给予的最高奖金。

*参考来源：THN、SD 、SA ;转载请注明来自FreeBuf黑客与极客（FreeBuf.COM）