新闻链接：http://www.hackbase.com/article-206141-1.html
新闻时间：2016-2-12 09:34
新闻正文：资安业者Check Point周二（2/2）揭露全球拍卖平台eBay上含有一严重漏洞，骇客可利用该漏洞窃取使用者资料或执行网钓攻击，不过，eBay并未计画修补该漏洞。

该漏洞藏匿于eBay的线上销售平台，允许骇客绕过eBay的程式验证程序以针对目标用户执行JavaScript程式。

根据Check Point的描述，要开采该漏洞的骇客只要建立一个线上的eBay商店，并于商店说明中嵌入一个恶意档案，虽然eBay会过滤这些HTML标签中的执行档，但利用JSF**k技术即可绕过该规范，且可自骇客的伺服器上载入其他的JavaScript程式。

Check Point安全研究经理Oded Vanunu指出，骇客仅需传递一个具吸引力的产品连结来诱导使用者就能展开攻击，包括散播恶意程式或窃取用户资料，也能建立Gmail或Facebook的登入视窗来挟持使用者的帐号。

Check Point于去年12月15日向eBay提报此一漏洞，同时提供概念性验证程式，不过，根据eBay在今年1月中的回覆，该站并未计画修补该漏洞。

在此之前，eBay曾在2014年发生过一次相当严重的资安事件，当时eBay通知用户其资料库遭骇，消费者的姓名、住址、密码、生日等个资可能被窃，要求用户尽快更换密码，避免造成更大的损失，受影响用户数估计达2亿，远超过2013年美国连锁商店Target被骇的1.1亿用户。

[课程]FART 脱壳王！加量不加价！FART作者讲授！