Cross Site Scripting: Warnung vor Sicherheitslücke bei Ebay

Logo, Ebay, Online-Auktionshaus Bildquelle: Ebay
Vor rund zwei Monaten hat ein Mitarbeiter der Securityfirma Greenbone eine Sicherheitslücke bei Ebay entdeckt und gemeldet. Passiert ist bisher allem Anschein nach nichts - das bestehende Problem kann dazu genutzt werden, über eBay Schadecode zu verteilen.


Cross Site Scripting

Das jetzt gemeldete Sicherheitsproblem ist ein alter Bekannter: es handelt sich um eine Cross-Site-Scripting-Schwachstelle. Bereits 2011 hatte Heise von einen dem jetzt bekannt gewordenen Fehler sehr ähnlichen Fall berichtet. Dabei können Angreifer über Angeboteseiten unautorisierten Code einschleusen, der dann beispielsweise Schadecode verteilt. Um die Vorwürfe zu belegen, hat der Greenbone-Mitarbeiter selbst eine solche Seite erstellt und den Angriff demonstriert.

Nach den öffentlichen Vorwürfen gab es bereits eine Reaktion seitens Ebay. Gegenüber Golem erklärte ein Pressesprecher, dass man das Problem als akzeptables Risiko einstufe und Technologien einsetze, die eine Ausnutzung der Cross-Site-Scripting-Lücke verhinderten.

"Viele unserer Verkäufer nutzen Technologien wie JavaScript oder Flash, sogenannte aktive Inhalte, um ihre Angebote auf dem eBay-Marktplatz attraktiver zu gestalten. Uns ist bewusst, dass es auch Möglichkeiten gibt, entsprechende Technologien in missbräuchlicher Absicht zu verwenden. Vor diesem Hintergrund haben wir ein mehrstufiges Sicherheitssystem aufgebaut, um die Verwendung von bösartigem Code zu verhindern und zu entdecken. Erstens setzen wir Technologien ein, die Verkäufer daran hindern, bestimmte aktive Inhalte in ihren Artikelbeschreibungen zu verwenden.

Zweitens wenden wir Technologien an, die uns dabei unterstützen, bösartigen Code in Artikelbeschreibungen zu entdecken und entsprechende Angebote zu löschen.

Drittens passen wir unsere Sicherheitssysteme kontinuierlich an, sobald wir von neuen Formen von bösartigem Code erfahren. Die Sicherheit von eBay und von unseren Nutzern ist für uns zentral. Wir bitten jeden, der glaubt, eine Vulnerabilität unserer Seite entdeckt zu haben, uns darüber so schnell wie möglich über unser Sicherheitscenter zu informieren."

Ob diese Aussage von Ebay allerdings genau auf den von Greenbone gemeldeten Fall antwortet, erscheint nicht ganz klar zu sein. Denn der Mitarbeiter war laut eigenen Angaben ja gerade nicht auf ein Hindernis durch die von Ebay eingesetzte Software zum Entfernen von bösartigem Code gestoßen.

Die nun gerügte Sicherheitslücke steht nicht in Verbindung zu dem bekannt gewordenen Daten-Diebstahl bei Ebay. Interessant ist dennoch, wie sich die Vorfälle zeitlich gleichen. Logo, Ebay, Online-Auktionshaus Logo, Ebay, Online-Auktionshaus Ebay
Mehr zum Thema: eBay
Diese Nachricht empfehlen
Kommentieren2
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!

Jetzt als Amazon Blitzangebot

Ab 19:40 Uhr Withings Kabelloses Blutdruckmessgerät
Withings Kabelloses Blutdruckmessgerät
Original Amazon-Preis
98,86
Im Preisvergleich ab
98,83
Blitzangebot-Preis
73,98
Ersparnis zu Amazon 25% oder 24,88

Interessantes bei eBay

Tipp einsenden