Nowy atak XSS na eBayu

Oszustom udało się tak zmanipulować opisy towarów wystawianych na eBayu, że istnieje możliwość zamiany lub nadpisania dowolnych numerów produktów i adresu e-mailowego oferenta. Przy użyciu nowej techniki ataku daje się wyprowadzić w pole nie tylko użytkowników portalu, ale także zabezpieczenia eBaya mające zapobiegać nieuczciwym aukcjom.

Napastnicy posłużyli się metodą ataku typu Cross-Site Scripting w połączeniu z językiem XBL (XML Binding Language). Dzięki takiej kombinacji możliwe jest wiązanie elementów dokumentu HTML ze skryptami, arkuszami stylów i pozostałymi obiektami podobnego dokumentu HTML umieszczonego na innej stronie WWW. Wciąż jednak nie wiadomo, gdzie dokładnie tkwi błąd.

W serwisie poświęconym błędom Firefoksa programista Cefn Hoile rozpoczął już dyskusję na temat pewnej luki znalezionej w tej przeglądarce, jednak warunkiem koniecznym do przeprowadzenia takiego ataku jest włączenie własnego kodu do zasobów eBaya. Okazuje się bowiem, że z poziomu innych stron można dodawać do własnych aukcji kaskadowe arkusze stylów (CSS), podczas gdy w przypadku kodu JavaScript nie powinno tak być. Niestety, daje się to obejść. Problem dotyczy również innych serwisów zezwalających na włączanie kodu i dodawanie arkuszy CSS. Poza tym na tego typu ataki podatny jest Internet Explorer w wersjach 6 i 7.

Przedstawiciele eBaya twierdzą, że strony serwisu są już wolne od opisanego problemu.

Programiści Firefoksa zastanawiają się nad przygotowaniem odpowiedniej poprawki eliminującej tę usterkę. Wskazują jednak na fakt, że w przypadku opisanych ataków nie jest wykorzystywana żadna luka w programie ani nie zostaje naruszona tzw. zasada tożsamego pochodzenia (same origin policy). Niemniej zagrożenia związane z możliwością włączania do stron elementów z obcych witryn są znane od lat. Zdaniem programistów eBay musi po prostu zadbać o lepsze filtrowanie i kontrolowanie dodawanych treści.

wydanie internetowe www.heise-online.pl