eBay: Kritische Cross-Site-Scripting-Lücke gefunden

Logo, Ebay, Online-Auktionshaus Bildquelle: ebay
Auf einer Unterseite der Online-Auktionsplattform eBay wurde ein URL-Parameter kürzlich bekannt gewordenen Informationen zufolge nur unzureichend geprüft. Dadurch ergab sich eine kritische XSS-Lücke.
Ein Angreifer hätte durch das erfolgreiche Ausnutzen dieser Schwachstelle möglicherweise fremde eBay-Konten übernehmen können. Zu diesem Zweck musste man zunächst in den Besitz der zugehörigen Cookies kommen. Angeblich konnten Links erstellt werden, bei denen im Kontext der offiziellen eBay-Domain beliebiger JavaScript-Code ausgeführt wurde.

Daniel Sparka wurde auf diese Problematik aufmerksam und hat sich nicht nur an 'Heise Security' mit diesem Thema gewendet, sondern auch eBay selbst darüber informiert. Von den Betreibern der Plattform erhielt er allerdings lediglich den Hinweis, die temporären Dateien in seinem Browser zu löschen. Ganz offensichtlich wurde der eingesendete Tipp in diesem Fall falsch verstanden.

Daraufhin hat sich Heise mit eBay in Verbindung gesetzt. Innerhalb von 24 Stunden wurde die Webseite vom Netz genommen. Man kündigte an, sich um die Problematik umfassend kümmern zu wollen. Den Angaben einer Pressesprecherin von eBay zufolge gibt es keinen direkten Ansprechpartner, wenn es um das Thema Sicherheitsfragen auf der Online-Auktionsplattform geht. Diesbezüglich soll das Kontaktformular genutzt werden.

David Vieira-Kurz macht in Form von einem veröffentlichten Beitrag auf seiner Webseite 'Secalert' allerdings darauf aufmerksam, dass für solche Zwecke die E-Mail-Adresse securitydisclosure@ebay.com oder eine spezielle Webseite genutzt werden können. In der Vergangenheit hat er selbst auf diesem Wege verschiedene Sicherheitslücken an die Betreiber der Plattform gemeldet. Logo, Ebay, Online-Auktionshaus Logo, Ebay, Online-Auktionshaus ebay
Mehr zum Thema: eBay
Diese Nachricht empfehlen
Kommentieren11
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!

Jetzt als Amazon Blitzangebot

Ab 08:05 Uhr USB 3.0 HUB -U-VDE0010
USB 3.0 HUB -U-VDE0010
Original Amazon-Preis
27,99
Im Preisvergleich ab
?
Blitzangebot-Preis
22,39
Ersparnis zu Amazon 20% oder 5,60
Nur bei Amazon erhältlich

Interessantes bei eBay

Tipp einsenden