Nowy atak XSS na eBayu

Oszustom udało się tak zmanipulować opisy towarów wystawianych na eBayu, że istnieje możliwość zamiany lub nadpisania dowolnych numerów produktów i adresu e-mailowego oferenta. Przy użyciu nowej techniki ataku daje się wyprowadzić w pole nie tylko użytkowników portalu, ale także zabezpieczenia eBaya mające zapobiegać nieuczciwym aukcjom.

Obraz

Zagrożenie

Napastnicy posłużyli się metodą ataku typu Cross-Site Scripting w połączeniu z językiem XBL (XML Binding Language). Dzięki takiej kombinacji możliwe jest wiązanie elementów dokumentu HTML ze skryptami, arkuszami stylów i pozostałymi obiektami podobnego dokumentu HTML umieszczonego na innej stronie WWW. Wciąż jednak nie wiadomo, gdzie dokładnie tkwi błąd.

Problem

W serwisie poświęconym błędom Firefoksa programista Cefn Hoile rozpoczął już dyskusję na temat pewnej luki znalezionej w tej przeglądarce, jednak warunkiem koniecznym do przeprowadzenia takiego ataku jest włączenie własnego kodu do zasobów eBaya. Okazuje się bowiem, że z poziomu innych stron można dodawać do własnych aukcji kaskadowe arkusze stylów (CSS), podczas gdy w przypadku kodu JavaScript nie powinno tak być. Niestety, daje się to obejść. Problem dotyczy również innych serwisów zezwalających na włączanie kodu i dodawanie arkuszy CSS. Poza tym na tego typu ataki podatny jest Internet Explorer w wersjach 6 i 7.

Ochrona

Przedstawiciele eBaya twierdzą, że strony serwisu są już wolne od opisanego problemu.

Rozwiązanie

Programiści Firefoksa zastanawiają się nad przygotowaniem odpowiedniej poprawki eliminującej tę usterkę. Wskazują jednak na fakt, że w przypadku opisanych ataków nie jest wykorzystywana żadna luka w programie ani nie zostaje naruszona tzw. zasada tożsamego pochodzenia (same origin policy). Niemniej zagrożenia związane z możliwością włączania do stron elementów z obcych witryn są znane od lat. Zdaniem programistów eBay musi po prostu zadbać o lepsze filtrowanie i kontrolowanie dodawanych treści.

wydanie internetowe www.heise-online.pl

Wybrane dla Ciebie
Tajemniczy grzyb z Czarnobyla. "Żywi się" promieniowaniem
Tajemniczy grzyb z Czarnobyla. "Żywi się" promieniowaniem
Eksplodowała chwilę po starcie. Rosjanie strzelili sami w siebie
Eksplodowała chwilę po starcie. Rosjanie strzelili sami w siebie
Spojrzał w niebo. Uchwycił niedostrzegalne zjawisko
Spojrzał w niebo. Uchwycił niedostrzegalne zjawisko
Największy taki zakup. Polska zawarła kontrakt z Amerykanami
Największy taki zakup. Polska zawarła kontrakt z Amerykanami
Chcieli wystraszyć Zachód. Rosyjska rakieta spadła na ziemię
Chcieli wystraszyć Zachód. Rosyjska rakieta spadła na ziemię
Rozważają rezygnację z F-35. USA coraz mocniej się niecierpliwią
Rozważają rezygnację z F-35. USA coraz mocniej się niecierpliwią
Polska zamówiła więcej Herculesów. To pancerne warsztaty dla Abramsów
Polska zamówiła więcej Herculesów. To pancerne warsztaty dla Abramsów
To "mały Einstein". Ma 15 lat i doktorat z fizyki kwantowej
To "mały Einstein". Ma 15 lat i doktorat z fizyki kwantowej
Stacja kosmiczna Lunar Gateway powstanie? ESA potwierdza
Stacja kosmiczna Lunar Gateway powstanie? ESA potwierdza
Jest klient na Su-35. Rosja oczekuje czegoś cenniejszego niż pieniądze
Jest klient na Su-35. Rosja oczekuje czegoś cenniejszego niż pieniądze
Monstrualne obiekty kosmiczne. To miały być tylko małe czerwone kropki
Monstrualne obiekty kosmiczne. To miały być tylko małe czerwone kropki
Ruch rosyjskich kontenerowców. Nie oznacza nic dobrego dla Ukrainy
Ruch rosyjskich kontenerowców. Nie oznacza nic dobrego dla Ukrainy
MOŻE JESZCZE JEDEN ARTYKUŁ? ZOBACZ CO POLECAMY 🌟