Blog Wallpaper
A
Ahmed Najehالجمعة، 27 يونيو 2025

سرقة بيانات حساب PayPal وسحب كامل الرصيد بضغطة واحدة – مكافأة 3200$

منذ شهرين تقريبا

Area Iconالأمن السيبراني - صيد الثغرات

🎯 عنوان الثغرة

One-Click PayPal Info (IDOR) & Full Funds Extraction via ClickJacking
✅ الجائزة: 3200$ لكل جهة متأثرة (Culprit)

🧠 فكرة الثغرة باختصار

بضغطة واحدة من الضحية على زر تم خداعه به، تمكنت من:

  • استخراج كافة معلومات حسابه على PayPal.
  • تنفيذ عملية دفع وسحب كامل الرصيد المرتبط بالحساب.

كل ذلك عن طريق سلسلة تجمع بين IDOR وClickJacking عبر نظام الدفع Braintree.

🧪 خطوات إعادة الإنتاج

1. التوجه لموقع الضحية

اذهب إلى موقع يستخدم بوابة دفع Braintree مثل:

https://penzu.com/gopro

اختر خطة مدفوعة ثم اختر الدفع عن طريق PayPal.

2. اعتراض طلب الدفع

استخدم Burp Suite أو أي أداة لاعتراض الطلبات.

اعترض الطلب GET المُرسل إلى الرابط التالي:

https://api.paypaltest.com/test.test.test

3. استخراج البيانات من الطلب

قم بحفظ القيم التالية:

  • authorizationFingerprint
  • meta[sessionId]
  • paypalAccount[correlation_id]
  • paypalAccount[billing_agreement_token]
  • callback

4. فهم فكرة التوكن

عند الضغط على زر الدفع عبر PayPal، يتم إنشاء توكن مخصص لعملية الشراء المرتبطة بالحساب والموقع.

5. إنشاء صفحة احتيالية (Clickjacking)

أنشئ صفحة HTML تحتوي على iframe بداخله رابط الموافقة على الدفع:

<iframe src="https://www.paypaltest.com/test/approve?test_token=TOKEN"></iframe>

ثم قم بخداع الضحية لزيارة هذه الصفحة والضغط على زر "Agree & Continue".

6. تنفيذ عملية الدفع وسحب الرصيد

بمجرد موافقة الضحية، أرسل طلب POST إلى الرابط التالي:

https://api.test.com/.../v1/payment_methods/paypal_accounts

مع تمرير المتغيرات التي جمعتها سابقًا:

?sharedCustomerIdentifierType=undefined
&braintreeLibraryVersion=braintree%2Fweb%2F2.27.0
&authorizationFingerprint={AUTH_FINGERPRINT}
&_meta[integration]=dropin
&_meta[source]=paypal
&_meta[sessionId]={SESSION_ID}
&paypalAccount[correlation_id]={CORRELATION_ID}
&paypalAccount[billing_agreement_token]={BILLING_AGREEMENT_TOKEN}
&_method=POST
&callback={CALLBACK}

📦 البيانات التي تم استخراجها

بعد تنفيذ الهجوم، حصلت على البيانات التالية من حساب الضحية:

  • الاسم الأول والأخير
  • تاريخ الميلاد
  • مكان السكن
  • البريد الإلكتروني
  • تفاصيل إضافية مرتبطة بالحساب

✅ النتيجة

  • تم تنفيذ هجوم Clickjacking + IDOR أدى إلى:
    • استخراج معلومات PayPal
    • تنفيذ دفع وسحب رصيد
  • تم إبلاغ الجهات المتأثرة.
  • تم منحي مكافأة قدرها 3200$ لكل نظام تأثر بالثغرة.

🧠 ملاحظات أمنية

  • لا تعرض بيانات التوكن بشكل مباشر في DOM أو الاستجابات.
  • يجب حماية عمليات الموافقة باستخدام CSRF Token أو Same-Origin Policy.
  • تجنب تضمين عمليات الدفع داخل iframes دون حماية ضد Clickjacking.

Happy Hacking 💸🔥