Peter Holmes
0 
4656
702
EBay má pověst pro méně než hvězdné bezpečnostní praktiky a vypadá to, že se brzy nezlepší. Nedávno vystavená bezpečnostní chyba ohrožuje některé uživatele a eBay se rozhodla vydat pouze částečnou opravu, místo úplné.
Zde je uvedeno, co potřebujete vědět o zranitelnosti, o tom, jak to funguje a jak zůstat v bezpečí.
Podvody s aktivním obsahem, XSS a eBay
Na danou zranitelnost zabezpečení je navázáno “aktivní obsah,” které mohou prodejci vložit do svých reklam. Aktivní obsah může použít celou řadu různých technologií, aby byl popis položky zajímavější nebo užitečnější - může to být malá aplikace Flash, nabídka JavaScriptu, webová anketa nebo cokoli jiného, co je vložené a interaktivní. V níže uvedené reklamě je to skript “xsellgalleryscript” který se snaží přimět vás k nákupu dalších položek od prodejce.
Ve většině případů je aktivní obsah zcela bezpečný. Je to mírně nepříjemné, ale bezpečné. Co se týká skriptování mezi weby (XSS), co je skriptování mezi weby (XSS), a proč je to bezpečnostní hrozba Co je to skriptování mezi weby (XSS), a proč je to bezpečnostní hrozba Nejčastější chyby zabezpečení skriptování mezi weby jsou největší bezpečnostní problém webových stránek dnes. Studie zjistily, že jsou šokově běžné - podle poslední zprávy White Hat Security vydané v červnu… 55% webových stránek obsahovalo zranitelnosti XSS, vydané v červnu…, skript umístěný na jiném webu lze načíst na stránku eBay a tento skript může být cokoli - může stahovat malware, pokoušet se phishingovat vaše přihlašovací údaje uživatele nebo vytvářet další druhy chaosu. Protože je tento útok poměrně běžný, eBay používá filtry, které se mu snaží zabránit.
Bohužel někdo našel cestu. Používá techniku nazvanou JSF * ck, fascinující způsob, jak napsat kód JavaScript pomocí pouhých šesti znaků: [] ()! +. Se dvěma závorkami, dvěma závorkami, vykřičníkem a znaménkem plus můžete vytvořit a spustit libovolný kód JavaScript.
Je to zábavné cvičení, jako programovací jazyk Brainf ** k. 10 Programovací jazyky, které jste pravděpodobně nikdy neslyšeli Z 10 programovacích jazyků, které jste pravděpodobně nikdy neslyšeli Existuje několik velmi podivných a bizarních programovacích jazyků, které otočily logiku na hlavu a stále se jim podařilo zůstaňte věrní vědě o komunikaci s počítačem. Budeš… . Lze jej však také použít k získání filtrů eBay.
Společnost Cybersecurity s názvem Check Point tuto chybu zabezpečení nahlásila nejprve a uvedla, že ji lze použít na webu pro stolní počítače nebo prostřednictvím aplikací pro iOS nebo Android ke stažení malwaru nebo přesměrování uživatelů na phishingové stránky, na kterých mohou neúmyslně rozdat pověření uživatele. Zde je video o útoku v akci:
Společnost Check Point tuto chybu zabezpečení nahlásila a nahlásila společnosti eBay v prosinci 2015 a očekává, že aktualizuje svůj software, aby se zabránilo zneužití. Podle BBC společnost eBay v lednu společnosti Check Point oznámila, že nemá v plánu tuto chybu zabezpečení plánovat, ale v únoru provedla částečnou opravu. Proč jen částečná oprava? “Je důležité pochopit, že škodlivý obsah na našem trhu je mimořádně neobvyklý,” eBay řekl BBC.
Přestože společnost eBay trvá na tom, že riziko tohoto typu útoku je extrémně nízké, bezpečnostní společnost Netcraft uvedla, že se aktivně používá k phishingu e-mailových adres potenciálních kupujících. Jak přesně Phishing a jaké techniky používají podvodníci? Co přesně Phishing a jaké techniky používají podvodníci? Já sám jsem nikdy nebyl příznivcem rybolovu. Je to hlavně kvůli včasné výpravě, kde se můj bratranci podařilo chytit dvě ryby, zatímco jsem chytil zip. Podobně jako v reálném životě, phishingové podvody nejsou… a povzbuzují je k dokončení platby prostřednictvím falešné úschovy. A podvod fungoval - Netcraft sdílel snímky obrazovky petice rozrušeného uživatele o pomoc poté, co mu eBay, policie a jeho banka řekli, že mu nemohli pomoci.
Jak se chránit před zranitelností XSS na eBay
Dokud eBay tento problém neopraví úplně, existuje šance, že byste mohli narazit na seznam, který podvodník napadl a vystavil se riziku. Existuje několik věcí, které můžete udělat pro snížení rizika, že vás někdo chytí.
První věc, kterou byste měli udělat, je ujistit se, že v prohlížeči používáte funkci click-to-play. Chrome má tuto schopnost zabudovanou, Firefox má populární rozšíření NoScript a uživatelé Safari mohou nainstalovat JS Blocker 5. To zabrání načtení všech skriptů, pokud jim k tomu výslovně nedáte svolení. Neměli byste je načítat na eBay, ale pokud ano, můžete je povolit jediným kliknutím.
Pokud povolíte doplňky, budete muset být ostražití, abyste se ujistili, že vás nevyužívají. Kdykoli se chystáte kliknout na Koupit nyní, Vytvořte nabídku, nebo Nabídka odkaz na eBay, ujistěte se, že URL v prohlížeči je ebay.com, a ne něco jiného. Pokud phishingujete, doménou bude něco jiného než ebay.com.
Pokud používáte mobilní aplikaci eBay, ujistěte se, že znovu zkontrolujete adresu URL jakékoli propojené stránky, zejména pokud vás žádá o přihlašovací údaje eBay. A nestahujte žádné další aplikace! Aplikace eBay vás nebude povzbuzovat ke stažení něčeho jiného. Brian Krebs, jeden z nejlepších blogerů zabývající se zabezpečením, říká ve svých 3 základních pravidlech pro zabezpečení online, pokud jste to nehledali, neinstalujte jej.!
Kromě toho je to standardní bezpečnostní materiál na online trhu. Komunikujte pouze prostřednictvím webových stránek, nikoli prostřednictvím e-mailu, bez ohledu na to, co. Neklikejte na odkazy v e-mailech z eBay, stačí jít na ebay.com pro případ, že e-mail pochází od scammera. Zkontrolujte, zda jsou odkazy na webu bezpečné. 8 způsobů, jak zajistit, aby byl odkaz v bezpečí, než na něj kliknete 8 způsobů, jak zajistit, aby byl odkaz v bezpečí, než na něj kliknete Ale stejně jako pavouci, digitální web může zachytit nic netušícího. Ještě více znalci z nás kliknou na odkazy, které… než je použijete. Používejte silné heslo Jak generovat silná hesla, která odpovídají vaší osobnosti Jak generovat silná hesla, která odpovídají vaší osobnosti Bez silného hesla byste se mohli rychle dostat na přijímající konec počítačového zločinu. Jedním ze způsobů, jak vytvořit nezapomenutelné heslo, může být přiřazení k vaší osobnosti. a pravidelně jej měňte. Všechny pravidelné “udržujte se v bezpečí” tipy, které sdílíme po celou dobu, platí také zde.
Nenechte se chytit tímto eBay cross-site skriptovací podvod
Chraňte se před podvody na eBay 10 eBay podvody být vědomi 10 eBay podvody být vědomi toho, že jsou podvodníci sání, zejména na eBay. Zde jsou nejčastější eBay podvody, o kterých potřebujete vědět a jak jim zabránit. vyžaduje trochu ostražitosti a trochu proaktivní prevence. Mezi používáním prohlížeče nebo rozšíření blokujícího skripty, sledováním podezřelých adres URL a sledováním podivných stahování nebo požadavků byste měli být v pořádku, i když eBay tuto chybu zabezpečení neopraví (což pravděpodobně neučiní, alespoň na chvíli). Takže udělejte pár rychlých kroků a vraťte se k úspoře tun peněz nakupováním na eBay 10 tipů, jak nakupovat na eBay jako šéf 10 tipů, jak nakupovat na eBay jako šéf Tato 10 tipů eBay vám pomůže optimalizovat vyhledávání a nabízení ušetříte spoustu peněz za věci, které hledáte. !
Nakupujete na eBay? Znepokojuje vás jejich záznam o nečinnosti týkající se zabezpečení? Jste méně pravděpodobné, že tam nakupujete, protože nereagovali dobře na hlášení této konkrétní chyby? Podělte se o své myšlenky níže!
Image Credits: hacker od Photosani přes Shutterstock