-
-
eBay不想修补的资料窃取漏洞
-
发表于: 2016-2-15 00:15 1790
-
新闻链接:http://www.hackbase.com/article-206141-1.html
新闻时间:2016-2-12 09:34
新闻正文:资安业者Check Point周二(2/2)揭露全球拍卖平台eBay上含有一严重漏洞,骇客可利用该漏洞窃取使用者资料或执行网钓攻击,不过,eBay并未计画修补该漏洞。
该漏洞藏匿于eBay的线上销售平台,允许骇客绕过eBay的程式验证程序以针对目标用户执行JavaScript程式。
根据Check Point的描述,要开采该漏洞的骇客只要建立一个线上的eBay商店,并于商店说明中嵌入一个恶意档案,虽然eBay会过滤这些HTML标签中的执行档,但利用JSF**k技术即可绕过该规范,且可自骇客的伺服器上载入其他的JavaScript程式。
Check Point安全研究经理Oded Vanunu指出,骇客仅需传递一个具吸引力的产品连结来诱导使用者就能展开攻击,包括散播恶意程式或窃取用户资料,也能建立Gmail或Facebook的登入视窗来挟持使用者的帐号。
Check Point于去年12月15日向eBay提报此一漏洞,同时提供概念性验证程式,不过,根据eBay在今年1月中的回覆,该站并未计画修补该漏洞。
在此之前,eBay曾在2014年发生过一次相当严重的资安事件,当时eBay通知用户其资料库遭骇,消费者的姓名、住址、密码、生日等个资可能被窃,要求用户尽快更换密码,避免造成更大的损失,受影响用户数估计达2亿,远超过2013年美国连锁商店Target被骇的1.1亿用户。
新闻时间:2016-2-12 09:34
新闻正文:资安业者Check Point周二(2/2)揭露全球拍卖平台eBay上含有一严重漏洞,骇客可利用该漏洞窃取使用者资料或执行网钓攻击,不过,eBay并未计画修补该漏洞。
该漏洞藏匿于eBay的线上销售平台,允许骇客绕过eBay的程式验证程序以针对目标用户执行JavaScript程式。
根据Check Point的描述,要开采该漏洞的骇客只要建立一个线上的eBay商店,并于商店说明中嵌入一个恶意档案,虽然eBay会过滤这些HTML标签中的执行档,但利用JSF**k技术即可绕过该规范,且可自骇客的伺服器上载入其他的JavaScript程式。
Check Point安全研究经理Oded Vanunu指出,骇客仅需传递一个具吸引力的产品连结来诱导使用者就能展开攻击,包括散播恶意程式或窃取用户资料,也能建立Gmail或Facebook的登入视窗来挟持使用者的帐号。
Check Point于去年12月15日向eBay提报此一漏洞,同时提供概念性验证程式,不过,根据eBay在今年1月中的回覆,该站并未计画修补该漏洞。
在此之前,eBay曾在2014年发生过一次相当严重的资安事件,当时eBay通知用户其资料库遭骇,消费者的姓名、住址、密码、生日等个资可能被窃,要求用户尽快更换密码,避免造成更大的损失,受影响用户数估计达2亿,远超过2013年美国连锁商店Target被骇的1.1亿用户。
赞赏
看原图
赞赏
雪币:
留言: