Nowy atak XSS na eBayu

Oszustom udało się tak zmanipulować opisy towarów wystawianych na eBayu, że istnieje możliwość zamiany lub nadpisania dowolnych numerów produktów i adresu e-mailowego oferenta. Przy użyciu nowej techniki ataku daje się wyprowadzić w pole nie tylko użytkowników portalu, ale także zabezpieczenia eBaya mające zapobiegać nieuczciwym aukcjom.

Obraz

Zagrożenie

Napastnicy posłużyli się metodą ataku typu Cross-Site Scripting w połączeniu z językiem XBL (XML Binding Language). Dzięki takiej kombinacji możliwe jest wiązanie elementów dokumentu HTML ze skryptami, arkuszami stylów i pozostałymi obiektami podobnego dokumentu HTML umieszczonego na innej stronie WWW. Wciąż jednak nie wiadomo, gdzie dokładnie tkwi błąd.

Problem

W serwisie poświęconym błędom Firefoksa programista Cefn Hoile rozpoczął już dyskusję na temat pewnej luki znalezionej w tej przeglądarce, jednak warunkiem koniecznym do przeprowadzenia takiego ataku jest włączenie własnego kodu do zasobów eBaya. Okazuje się bowiem, że z poziomu innych stron można dodawać do własnych aukcji kaskadowe arkusze stylów (CSS), podczas gdy w przypadku kodu JavaScript nie powinno tak być. Niestety, daje się to obejść. Problem dotyczy również innych serwisów zezwalających na włączanie kodu i dodawanie arkuszy CSS. Poza tym na tego typu ataki podatny jest Internet Explorer w wersjach 6 i 7.

Ochrona

Przedstawiciele eBaya twierdzą, że strony serwisu są już wolne od opisanego problemu.

Rozwiązanie

Programiści Firefoksa zastanawiają się nad przygotowaniem odpowiedniej poprawki eliminującej tę usterkę. Wskazują jednak na fakt, że w przypadku opisanych ataków nie jest wykorzystywana żadna luka w programie ani nie zostaje naruszona tzw. zasada tożsamego pochodzenia (same origin policy). Niemniej zagrożenia związane z możliwością włączania do stron elementów z obcych witryn są znane od lat. Zdaniem programistów eBay musi po prostu zadbać o lepsze filtrowanie i kontrolowanie dodawanych treści.

wydanie internetowe www.heise-online.pl

Wybrane dla Ciebie

Dziwna kometa w Układzie Słonecznym. Coś dzieje się z jej kolorami
Dziwna kometa w Układzie Słonecznym. Coś dzieje się z jej kolorami
Czy Putin może wygrać wojnę z Ukrainą? Eksperci nie mają złudzeń
Czy Putin może wygrać wojnę z Ukrainą? Eksperci nie mają złudzeń
Czołg K2PL, czyli docelowa konstrukcja dla Polski. Hyundai Rotem ujawnia szczegóły
Czołg K2PL, czyli docelowa konstrukcja dla Polski. Hyundai Rotem ujawnia szczegóły
USA biorą przykład z Ukrainy. Wydadzą na to pięć miliardów dolarów
USA biorą przykład z Ukrainy. Wydadzą na to pięć miliardów dolarów
Jeszcze lepszy niż Bayraktar. Zbudowali go z Ukraińcami
Jeszcze lepszy niż Bayraktar. Zbudowali go z Ukraińcami
Nowe odkrycie. Z materii otaczającej planetę może powstać księżyc
Nowe odkrycie. Z materii otaczającej planetę może powstać księżyc
Te gryzonie mają własny język. Naukowcy chcą go zrozumieć
Te gryzonie mają własny język. Naukowcy chcą go zrozumieć
Miejsce uwielbiane przez fotografów. Wkrótce wstęp będzie płatny
Miejsce uwielbiane przez fotografów. Wkrótce wstęp będzie płatny
Anomalia grawitacyjna. Co się właściwie stało?
Anomalia grawitacyjna. Co się właściwie stało?
Gorzki lek najlepiej leczy. A dlaczego jest gorzki?
Gorzki lek najlepiej leczy. A dlaczego jest gorzki?
"Niebezpieczna technologia". Rosja testuje nowe drony
"Niebezpieczna technologia". Rosja testuje nowe drony
Laserowa komunikacja w kosmosie. Sygnał dotarł z odległości 350 mln km
Laserowa komunikacja w kosmosie. Sygnał dotarł z odległości 350 mln km