تمكن الشاب المصري إبراهيم حجازي من اكتشاف ثغرة حرجة في موقع PayPal التابع لشركة باي بال العالمية ، يمكن ان يستغل الهاكرز هذه الثغرة لسرقة اموالك على موقع PayPal وكذلك معرفة تفاصيل البطاقة الائتمانية المربوطة بحساب PayPal .

حيث اكتشف ابراهيم حجازي ثغرة "XSS" في نظام الدفع الآمن في باي بال ، وهذا النظام يستخدم عندما تقوم بالشراء من اي موقع ويمكنك من الدفع اما عبر رصيدك في موقع باي بال او عبر البطاقة الأتمانية مما يتطلب تخزين معلومات الدفع الحساسة .

يقوم المخترق بإنشاء مواقع وهمية للبيع او اختراق مواقع بيع وشراء عالمية لمعرفة معلومات الحسابات والبطاقات .

خطوات استغلال هذه الثغرة :

1- يقوم الهاكرز بإنشاء مواقع وهمية للتسوق .
2- يقوم الهاكرز بإضافة زر الدفع عبر الباي بال "CheckOut" مع اضافة رابط مخفي به ثغرة XSS .
3- عندما يقوم المستخدم بالنقر على الزر لكي يدفع عبر حسابه في PayPal يتم اعادة توجيهه الى صفحة الدفع الآمن .
4- تكون هذه الصفحة صفحة لتصيد الضحايا وذلك بإن يطلب منهم ادخال معلوماتهم .
5- الان عند النقر على زر الدفع لانهاء العملية بدلا ان تدفع سعر السلعة التي تريد شراءها سوف يقوم باي بال بدفع اي مبلغ يطلبه منه الهاكر (المهاجم) .

خطوات استغلال الثغرة بالفيديو :


قام ابراهيم حجازي بإبلاغ فريق حماية PayPal بهذه الثغرة في 19 حزيران والفريق تاكد من هذه الثغرة وقام بإصلاحها في 25 من آب .

دفعت شركة باي بال مبلغ 750 دولار الى ابراهيم حجازي لاكتشافه هذه الثغرة .