Artykuły dotyczące tematu: ebay

dodany: 19.11.2012 | tagi: , , ,

eBay kupuje XSS

0

Ostatnio możemy zauważyć sporo ataków XSS na popularne portale – nie ominęło to także eBay, za sprawą indyjskiego badacza bezpieczeństwa Shubham Upadhyay (znanego też w Internecie pod nickiem Cyb3R_Shubh4M). Problem jest dość poważny, gdyż dotyczy bezpośrednio konta sprzedającego. Schemat działania jest następujący – wystarczy, że zalogujemy się raz na eBay’u i stworzymy listę sprzedaży – potem wystarczy dokonać bezpośrednio ingerencji w kodzie HTML dodając następujący wpis:

 ‚”–></style></script><script>alert(„XSSed by Cyb3R_Shubh4M”)</script>      

Oto przykład zaatakowanej strony (link jest oczywiście bezpieczny dla nas):

http://www.ebay.com/itm/181023275832?ssPageName=STRK:MESELX:IT&_trksid=p3984.m1555.l2649

Naszym oczom ukaże się następny komunikat z domeny vi.raptor.ebadesc.com:

Na portalu XSSED.com jest dostępny także mirror tego przykładu (na wypadek gdyby eBay postanowił coś z tym zrobić ;)

Problem ten jest dość poważny – oczywiście zamiast przykładowego alertu XSSed by Cyb3R_Shubh4M możemy umieścić dowolny kod, który nam się podoba. Oprócz tego w powyższym linku atak został podłączony także bezpośrednio pod opcję wydruku  na stronie (przycisk Print/Wydrukuj)  – poniżej efekt użycia przycisku:

 

Wg odkrywcy, atak ten można także wykonać w domenie cgi.ebay.com – czyli wtedy, kiedy jesteśmy zalogowani na naszym koncie sprzedawcy.

Problem ten został zgłoszony już prawie tydzień temu, ale eBay najwyraźniej się tym nie przejmuje. Nadal można spreparować ataki XSS bezpośrednio na stronie sprzedaży produktu. Jak bardzo jest to groźnie nie trzeba wyjaśniać – wystarczy zrobić superpromocję, która przyciągnie wielu chętnych…

W naszym kraju nie jest to może aż tak duży problem, gdyż u nas w zasadzie króluje firma na „A”, aczkolwiek jest to w końcu serwis aukcyjny dostępny dla całego świata, który nie powinien mieć żadnych odstępstw w kwestii bezpieczeństwa.

 

 

 

dodany: 16.10.2012 | tagi: , ,

Scammerzy wykorzystują nowe logo eBay

2

Parę dni temu miała miejsce zmiana loga serwisu eBay. Zmiana ta nastąpiła po 17 latach. Fakt ten wykorzystali już scammerzy, używając go w swoich wiadomościach phishingowych, dlatego też serwis eBay przekazał ważne ostrzeżenia przed atakiem:

1. eBay nigdy nie wysyła e-mailem prośby o podanie danych personalnych użytkowników.

2. Często taki fałszywy e-mail będzie wysłany w odpowiedzi na adres e-maila nie należący do serwisu.

3. Podrobiony nagłówek: tu niestety ciężko jest wykryć sfałszowanie nadawcy maila, bez odpowiedniej wiedzy technicznej.

4. Fałszywe wiadomości zawierają ogólne formy powitalne typu „drogi użytkowniku” – eBay adresuje e-maile podając w treści imię użytkownika.

5. Kolejną rzeczą, na którą powinniśmy zwrócić uwagę jest to, że mail zazwyczaj ostrzega nas przed tym, że nasze konto może zostać zablokowane, jeśli nie podejmiemy czynności w nim opisanych.

6. Link zawarty w mailu prowadzi zwykle do strony niezabezpieczonej protokołem HTTPS.

7. Maile takie często zawierają błędy językowe.