Nowy atak XSS na eBayu

Nowy atak XSS na eBayu

09.03.2009 15:46, aktual.: 09.03.2009 16:12

Zalogowani mogą więcej

Możesz zapisać ten artykuł na później. Znajdziesz go potem na swoim koncie użytkownika

Oszustom udało się tak zmanipulować opisy towarów wystawianych na eBayu, że istnieje możliwość zamiany lub nadpisania dowolnych numerów produktów i adresu e-mailowego oferenta. Przy użyciu nowej techniki ataku daje się wyprowadzić w pole nie tylko użytkowników portalu, ale także zabezpieczenia eBaya mające zapobiegać nieuczciwym aukcjom.

Zagrożenie

Napastnicy posłużyli się metodą ataku typu Cross-Site Scripting w połączeniu z językiem XBL (XML Binding Language). Dzięki takiej kombinacji możliwe jest wiązanie elementów dokumentu HTML ze skryptami, arkuszami stylów i pozostałymi obiektami podobnego dokumentu HTML umieszczonego na innej stronie WWW. Wciąż jednak nie wiadomo, gdzie dokładnie tkwi błąd.

Problem

W serwisie poświęconym błędom Firefoksa programista Cefn Hoile rozpoczął już dyskusję na temat pewnej luki znalezionej w tej przeglądarce, jednak warunkiem koniecznym do przeprowadzenia takiego ataku jest włączenie własnego kodu do zasobów eBaya. Okazuje się bowiem, że z poziomu innych stron można dodawać do własnych aukcji kaskadowe arkusze stylów (CSS), podczas gdy w przypadku kodu JavaScript nie powinno tak być. Niestety, daje się to obejść. Problem dotyczy również innych serwisów zezwalających na włączanie kodu i dodawanie arkuszy CSS. Poza tym na tego typu ataki podatny jest Internet Explorer w wersjach 6 i 7.

Ochrona

Przedstawiciele eBaya twierdzą, że strony serwisu są już wolne od opisanego problemu.

Rozwiązanie

Programiści Firefoksa zastanawiają się nad przygotowaniem odpowiedniej poprawki eliminującej tę usterkę. Wskazują jednak na fakt, że w przypadku opisanych ataków nie jest wykorzystywana żadna luka w programie ani nie zostaje naruszona tzw. zasada tożsamego pochodzenia (same origin policy). Niemniej zagrożenia związane z możliwością włączania do stron elementów z obcych witryn są znane od lat. Zdaniem programistów eBay musi po prostu zadbać o lepsze filtrowanie i kontrolowanie dodawanych treści.

wydanie internetowe www.heise-online.pl

Komentarze (0)