天极传媒:
天极网
比特网
IT专家网
52PK游戏网
极客修
全国分站

北京上海广州深港南京福建沈阳成都杭州西安长春重庆大庆合肥惠州青岛郑州泰州厦门淄博天津无锡哈尔滨

产品
  • 网页
  • 产品
  • 图片
  • 报价
  • 下载
全高清投影机 净化器 4K电视曲面电视小家电滚筒洗衣机
您现在的位置: 天极网 > 软件>新闻>eBay现XXS跨站攻击漏洞 导向钓鱼网站

eBay现跨站攻击漏洞 点击商品导向钓鱼网站

天极网软件频道2014-09-25 11:41我要吐槽

  【天极软件频道消息】近日BBC及信息安全网站Graham Cluley报道称,eBay出现跨站描述语言(cross-site scripting, XSS)漏洞,可能使点入拍卖商品链接的用户被导向钓鱼网站。

eBay现跨站攻击漏洞 点击商品导向钓鱼网站_天极yesky软件频道
图示:eBay的跨站网钓攻击
在eBay上点选某个iPhone 5s的链接之后,即被引导到一个假冒eBay登录画面的网页

  IT顾问Paul Kerr在eBay上搜寻iPhone 5S拍卖商品的链接后发现自己被导向与eBay登录页面几乎一样的外部网页,要求输入信箱帐号及密码。Cluley指出,eBay 的XSS漏洞让黑客得以在产品页面上植入一段恶意程序代码,让使用者点入后自动被引导到外部网页,比如钓鱼网站,黑客便可轻松获取用户帐户密码以及用户信息。

  目前eBay已删除部份问题链接,并对媒体表示,这只是特例个案。但BBC报道称经过简单搜寻,15天之内的货品中即可找到64个有类似行为的货品链接。

  媒体引述eBay发言人指出,这个问题和eBay允许用户在网站上使用JavaScript和Flash等动态内容有关,许多卖家喜欢用JavaScript和Flash使其物件更吸引人,有滥用此类动态内容的趋势。但eBay不允许跨网站描述语言,而且eBay有各种安全措施可以侦测并移除含有恶意程序代码的商品链接。后来eBay又通过媒体表示,网络罪犯刻意修改程序代码和入侵技巧,以规避最严密的安全系统。

  Graham Cluley报道指出,eBay XSS漏洞可能二月开始即已存在。事实上,近年eBay已多次传出有XSS和其他漏洞,最近的一次是五月。


【点击进入“天极网企业频道”认证微博】

作者:天极软件责任编辑:杨玲)

请关注天极网天极新媒体 最酷科技资讯
扫码赢大奖
评论
* 网友发言均非本站立场,本站不在评论栏推荐任何网店、经销商,谨防上当受骗!
热点推荐
微软Windows 10操作系统Win10系统在Win8的基础上对界面、特性以及跨平台方面做了诸多优化。[详细]
Windows 10 新视界 [进入频道][使用技巧][微博互动]