-
-
eBay现跨站攻击漏洞 点击商品导向钓鱼网站
-
发表于: 2014-9-30 12:49
-
新闻链接:http://soft.yesky.com/385/39208885.shtml
新闻时间:2014-09-25 11:41
新闻正文:
近日BBC及信息安全网站Graham Cluley报道称,eBay出现跨站描述语言(cross-site scripting, XSS)漏洞,可能使点入拍卖商品链接的用户被导向钓鱼网站。
eBay现跨站攻击漏洞 点击商品导向钓鱼网站
图示:eBay的跨站网钓攻击
在eBay上点选某个iPhone 5s的链接之后,即被引导到一个假冒eBay登录画面的网页
IT顾问Paul Kerr在eBay上搜寻iPhone 5S拍卖商品的链接后发现自己被导向与eBay登录页面几乎一样的外部网页,要求输入信箱帐号及密码。Cluley指出,eBay 的XSS漏洞让黑客得以在产品页面上植入一段恶意程序代码,让使用者点入后自动被引导到外部网页,比如钓鱼网站,黑客便可轻松获取用户帐户密码以及用户信息。
目前eBay已删除部份问题链接,并对媒体表示,这只是特例个案。但BBC报道称经过简单搜寻,15天之内的货品中即可找到64个有类似行为的货品链接。
媒体引述eBay发言人指出,这个问题和eBay允许用户在网站上使用JavaScript和Flash等动态内容有关,许多卖家喜欢用JavaScript和Flash使其物件更吸引人,有滥用此类动态内容的趋势。但eBay不允许跨网站描述语言,而且eBay有各种安全措施可以侦测并移除含有恶意程序代码的商品链接。后来eBay又通过媒体表示,网络罪犯刻意修改程序代码和入侵技巧,以规避最严密的安全系统。
Graham Cluley报道指出,eBay XSS漏洞可能二月开始即已存在。事实上,近年eBay已多次传出有XSS和其他漏洞,最近的一次是五月。
新闻时间:2014-09-25 11:41
新闻正文:
近日BBC及信息安全网站Graham Cluley报道称,eBay出现跨站描述语言(cross-site scripting, XSS)漏洞,可能使点入拍卖商品链接的用户被导向钓鱼网站。
eBay现跨站攻击漏洞 点击商品导向钓鱼网站
图示:eBay的跨站网钓攻击
在eBay上点选某个iPhone 5s的链接之后,即被引导到一个假冒eBay登录画面的网页
IT顾问Paul Kerr在eBay上搜寻iPhone 5S拍卖商品的链接后发现自己被导向与eBay登录页面几乎一样的外部网页,要求输入信箱帐号及密码。Cluley指出,eBay 的XSS漏洞让黑客得以在产品页面上植入一段恶意程序代码,让使用者点入后自动被引导到外部网页,比如钓鱼网站,黑客便可轻松获取用户帐户密码以及用户信息。
目前eBay已删除部份问题链接,并对媒体表示,这只是特例个案。但BBC报道称经过简单搜寻,15天之内的货品中即可找到64个有类似行为的货品链接。
媒体引述eBay发言人指出,这个问题和eBay允许用户在网站上使用JavaScript和Flash等动态内容有关,许多卖家喜欢用JavaScript和Flash使其物件更吸引人,有滥用此类动态内容的趋势。但eBay不允许跨网站描述语言,而且eBay有各种安全措施可以侦测并移除含有恶意程序代码的商品链接。后来eBay又通过媒体表示,网络罪犯刻意修改程序代码和入侵技巧,以规避最严密的安全系统。
Graham Cluley报道指出,eBay XSS漏洞可能二月开始即已存在。事实上,近年eBay已多次传出有XSS和其他漏洞,最近的一次是五月。
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
|
|
|---|---|
