Artykuły dotyczące tematu: Shubham Upadhyay

dodany: 19.11.2012 | tagi: , , ,

eBay kupuje XSS

0

Ostatnio możemy zauważyć sporo ataków XSS na popularne portale – nie ominęło to także eBay, za sprawą indyjskiego badacza bezpieczeństwa Shubham Upadhyay (znanego też w Internecie pod nickiem Cyb3R_Shubh4M). Problem jest dość poważny, gdyż dotyczy bezpośrednio konta sprzedającego. Schemat działania jest następujący – wystarczy, że zalogujemy się raz na eBay’u i stworzymy listę sprzedaży – potem wystarczy dokonać bezpośrednio ingerencji w kodzie HTML dodając następujący wpis:

 ‚”–></style></script><script>alert(„XSSed by Cyb3R_Shubh4M”)</script>      

Oto przykład zaatakowanej strony (link jest oczywiście bezpieczny dla nas):

http://www.ebay.com/itm/181023275832?ssPageName=STRK:MESELX:IT&_trksid=p3984.m1555.l2649

Naszym oczom ukaże się następny komunikat z domeny vi.raptor.ebadesc.com:

Na portalu XSSED.com jest dostępny także mirror tego przykładu (na wypadek gdyby eBay postanowił coś z tym zrobić ;)

Problem ten jest dość poważny – oczywiście zamiast przykładowego alertu XSSed by Cyb3R_Shubh4M możemy umieścić dowolny kod, który nam się podoba. Oprócz tego w powyższym linku atak został podłączony także bezpośrednio pod opcję wydruku  na stronie (przycisk Print/Wydrukuj)  – poniżej efekt użycia przycisku:

 

Wg odkrywcy, atak ten można także wykonać w domenie cgi.ebay.com – czyli wtedy, kiedy jesteśmy zalogowani na naszym koncie sprzedawcy.

Problem ten został zgłoszony już prawie tydzień temu, ale eBay najwyraźniej się tym nie przejmuje. Nadal można spreparować ataki XSS bezpośrednio na stronie sprzedaży produktu. Jak bardzo jest to groźnie nie trzeba wyjaśniać – wystarczy zrobić superpromocję, która przyciągnie wielu chętnych…

W naszym kraju nie jest to może aż tak duży problem, gdyż u nas w zasadzie króluje firma na „A”, aczkolwiek jest to w końcu serwis aukcyjny dostępny dla całego świata, który nie powinien mieć żadnych odstępstw w kwestii bezpieczeństwa.