PayPal爆出严重漏洞

　　安全公司Netcraft在周五称，在PayPal网站中存在一安全漏洞，正对其用户造成着严重的威胁。受到攻击者欺骗的用户的信用卡帐号以及个人信息，正面临着跨网站脚本攻击的危险。

　　欺骗者通过让用户访问一个真实的PayPay网址，欺骗用户透露信息。由于这的确是该公司的主机，从表面看来，信息通过该公司的SSL证书加密传送。但其实，被访问页面的部分内容已经通过跨网站脚本被篡改过了。

　　欺骗页面上声称，用户的帐号因“第三方使用权”问题已经被禁用，行为与目前的PayPal的诈骗案例十分相似。但有一点不同，这个页面看起来与真实的PayPal页面无异。

　　然后用户会被重定向到一台外部服务器，在毫无戒心下继续输入个人信息。

　　“用户之前看到的paypal.com域名和SSL安全证书，让他觉得自己访问的是真正的PayPal网站——他怎么会想到PayPal会把他重定向到一个欺骗的站点？”Netcraft公司的Paul Mutton说。

　　然后用户将泄漏他们的用户名和密码，接着会被引导输入验证身份的更详细信息。据Netcraft称，页面还会询问社会安全号、信用卡号、到期时间、卡验证号和ATM PIN。

　　Netcraft称他们公司的反欺骗工具栏已经升级，可以防止用户访问重定向到的外部服务器，该服务器位于韩国。至发表时止，PayPal还未对该漏洞做出公开承认和评论。