eBay не спешит исправлять обнаруженную еще год назад XSS-уязвимость

image

Теги: уязвимость, безопасность, eBay

Представители eBay пока не дали никаких комментариев по поводу неисправленной XSS-уязвимости.

Уже больше года на сайте eBay присутствует потенциально опасная XSS-уязвимость, и, похоже, специалисты компании не спешат ее исправлять. ИБ-исследователь из Эстонии Яанус Кяяп (Jaanus Kääp) обнаружил данную брешь еще в 2014 году, когда изучал безопасность web-приложений.

В течение года Кяяп четыре раза отправлял представителям eBay электронные письма по поводу бреши. Специалисты компании попросили Кяяпа не разглашать информацию об обнаруженной бреши, но и не уточнили план действий по ее устранению. ИБ-исследователь не стал беспокоиться по этому поводу, ведь уязвимость была легко исправима. Каково же было удивление Кяяпа, когда он зашел на сайт eBay спустя год и обнаружил, что брешь до сих пор не устранена.

По мнению Кяяпа, уязвимость позволяет злоумышленнику совершить XSS-атаку на внутреннюю систему обмена сообщениями eBay. Эксперт обнаружил брешь, прикрепив фотографию к сообщению и изменив параметр с именем picfile в GET-запросе, полученном с помощью прокси-сервера Burp Suite. Кяяп также поменял заголовок X-File-Name для удержания полезной нагрузки.

Представители eBay пока не дали никаких комментариев по поводу неисправленной XSS-уязвимости.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.