Сайт eBay оказался подвержен XSS-уязвимости

image

Теги: обнаружение уязвимостей

Злоумышленники внедрили вредоносный JavaScript-код на страницу описания товара, который перенаправлял пользователей на посторонний web-сайт.

Хакерам удалось проэксплуатировать XSS-уязвимость на популярном сайте eBay, чтобы перенаправить пользователей online-аукциона на поддельную страницу и получить их учетные и финансовые данные.

Уязвимость была обнаружена сотрудником BBC. Он уведомил администрацию сайта об обнаруженной бреши, но на удаление записей, эксплуатирующих эту уязвимость, ушло больше 12 часов.

Доктор Стивен Мердок (Steven Murdoch) из Группы по исследованию информационной безопасности колледжа Лондонского университета заявил, что поражен медлительностью администрации eBay. По сего словам, в такой крупной компании должна работать особая команда, оперативно реагирующая на подобные угрозы.

Исследователю удалось определить вид уязвимости, которую проэксплуатировали хакеры. Ею оказалась XSS-брешь. Используя ее, хакеры внедрили вредоносный код JavaScript на страницу с описанием товара. Он перенаправлял пользователя на посторонний web-сайт, который требовал ввести свой логин и пароль от eBay.

Пресс-секретарь eBay заявил, что данный случай был единичным, поскольку вредоносный код был обнаружен лишь в одном объявлении. Тем не менее, сотрудники BBC утверждают, что в настоящее время на сайте размещено еще 2 страницы, которые эксплуатируют XSS-уязвимость.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

comments powered by Disqus