Независимый исследователь, пользующийся псевдонимом MLT, сообщил о том, что нашёл слабое место на eBay. Полученный баг способствует формированию атак фишинговым способом, способным спровоцировать похищение учётных данных.
Опасность была обнаружена 11 декабря прошлого года. Пользователь тут же сообщил об этом в службу поддержки сайта. Сотрудники компании в первое время уточняли у пользователя ряд данных, затем вообще завершили переписку.
Прошёл месяц, но виртуальная «дыра» оставалась открытой, реальная опасность просто игнорировалась. Это показалось MLT довольно странным, ведь он пытался предотвратить потенциальный взлом сайта и кражу личных данных. Исследователь решил предпринять активные действия, в результате чего обнародовал информацию на страницах своего блога, с целью привлечь внимание к существующей опасности.
Обычная XSS-уязвимость может стать значительной проблемой. Чтоб отобразить жёсткие последствия, экспериментатор поместил iFrame-ссылку, переводящую пользователя на фишинговую страницу, в состав стандартного URL-аукциона.
Чтобы угнать данные пользователя, достаточно было перейти по ссылке и ввести свой логин и пароль на фейковой странице. Кстати, таким же образом воруют данные доступа в соц сети, будте внимательнее, смотрите на адрес сайта при вводе своих данных.
После данной публикации, пресса начала дёргать представителей интернет-аукциона и баг спешно исправили. Гугл к слову, даже платит людям, которые находят баги и дыры в их сервисах и ПО, странно, что ebay не поддерживает такую политику.
Кому интересен процесс XSS, ниже можете посмотреть видео:
Опубликовано 17 января 2016 в 13:21