Graham Cluley展示eBay的跨站網釣攻擊。在eBay上點選某個iPhone 5s的連結之後,即被導引到一個假冒eBay登入畫面的網頁。注意左上角網址列,並不屬於eBay的網域。

BBC及資訊安全網站Graham Cluley報導,eBay出現跨站描述語言(cross-site scripting, XSS)漏洞,可能使點入拍賣商品連結的用戶被導向釣魚網站。

Graham Cluley網站報導,eBay用戶,同時也是IT顧問的Paul Kerr在eBay上搜尋iPhone 5S拍賣商品的連結後發現自己被導向與eBay登入頁面幾乎一樣的外部網頁,要求輸入信箱帳號及密碼。Cluley指出,eBay 的XSS漏洞讓駭客得以在產品頁面上植入一段惡意程式碼,讓使用者點入後自動被導引到外部網頁。若一經取得帳密,可能讓駭客取得任何想要的用戶資訊。

Kerr立即向eBay客服人員反映,但eBay一直沒行動,直到BBC記者主動聯絡該公司,才移除該連結,距離用戶通報已過了超過12小時。

eBay已移除部份連結,並對媒體表示,這只是個案。不過BBC報導指出,經過簡單搜尋,15天之內的刊登物件中即可找到64個有類似行為的物件連結。

媒體引述eBay發言人指出,這問題和eBay允許用戶在網站上使用JavaScript和Flash等動態內容有關,許多賣家喜歡用JavaScript和Flash使其物件更吸引人,公司注意到這類動態內容有濫用之虞。但eBay不允許跨網站描述語言,而且eBay有各種安全措施可以偵測並移除含有惡意程式碼的商品連結。後來eBay又透過媒體表示,網路罪犯刻意修改程式碼和入侵技巧,以規避最嚴密的安全系統。

Graham Cluley報導指出,eBay XSS漏洞可能二月開始即已存在。事實上,近年eBay已多次傳出有XSS和其他漏洞,最近的一次是五月。(編譯/林妍溱)

↓ Graham Cluley以影片展示eBay的跨站網釣攻擊。在eBay上點選某個iPhone 5s的連結之後,即被導引到一個假冒eBay登入畫面的網頁。


Advertisement

更多 iThome相關內容