Session Hijacking: Ebay weiß seit einem Jahr von XSS-Lücke

Logo, Ebay, Online-Auktionshaus Bildquelle: Ebay
Schon vor gut einem Jahr hat der aus Estland stammende Sicherheitsforscher Jaanus Kääp eine problematische Cross-Site-Scripting-Sicherheitslücke (kurz XSS) im Ebay Kommunikationssystem entdeckt und an Ebay übermittelt. Seither ist aber nicht viel geschehen.
Laut einem neuen Bericht von Threat Post klafft die Lücke noch immer im Nachrichtensystem. Dabei kann ein Angreifer das Kommunikationssystem von Ebay so nutzen, dass er eine manipulierte Bildübertragung nutzt, um auf den Account seines Gegenüber vollen Zugriff zu erhalten. Und das funktioniert so: Der Angreifer schickt ein Bild und über das Nachrichtensystem und fängt den Request mithilfe eines Tools ab. Der "Get"-Parameter des Request wird dann manipuliert. Mit Hilfe weiterer Tricks kann ein Angreifer mit einer manipulierter Nachricht die aktuelle Session seines Gegenübers aufzeichnen. Er hätte dann vollen Zugriff auf alle Daten des Accounts. So lang Ebay nicht überall auf HTTPonly setze, wird das XSS-Problem für schädliche Übergriffe ausgenutzt werden können, so Kääp. XSS-Lücke EbayMit Hilfe eines abgefangenen und manipulierten Request kann es zum Session Hijacking kommen. Kääp selbst hat in dieser Woche das Vorgehen eines möglichen Angreifers detailliert in seinem Blog dokumentiert. Dazu hat er seine Geschichte veröffentlicht, wie Ebay seine Sicherheitsbedenken seit über einem Jahr ignoriert. Daher, so Kääp, müsse er im Umkehrschluss davon ausgehen, dass die gefundene XSS-Lücke gar nicht so gefährlich sei wie er glaube und bringt sie an die Öffentlichkeit.

Umgang mit Problemmeldern

Das ist natürlich vielmehr eine Trotzreaktion, als ein Hinweis zur Gefährlichkeit, weiß Kääp selbst. Firmen müssten laut Kääp allerdings mehr Verantwortung übernehmen und auch sehr viel besser mit solchen Hinweisen umgehen lernen.

In seinem Fall habe Ebay ihn zunächst mit einer vorgefertigten Email abgespeist. Darin hieß es, dass man das gemeldete Problem prüfen werde. Über einen Zeitplan für die Behebung des Problems könne Ebay aber keinerlei Angaben machen. Soweit sei das auch gängige Praxis, schrieb der Sicherheitsforscher.

Allerdings wunderte er sich, als er nach drei Monaten wieder schaute, ob die XSS-Lücke gefixt sei - das war sie nämlich nicht.

Eine erneute Kontaktaufnahme mit Ebay verlief wie beim ersten Mal, ohne dass Kääp konkrete Lösungshinweise erhielt. Nach über einem Jahr ist die Lücke nun noch immer existent. Kääp hofft, dass Ebay nun nach der Veröffentlichung endlich reagiert. Denn das Problem sei mit wenigen Hangriffen behoben, meint er. So ist es ein Einfallstor für Session Hijacking. Logo, Ebay, Online-Auktionshaus Logo, Ebay, Online-Auktionshaus Ebay
Mehr zum Thema: eBay
Diese Nachricht empfehlen
Kommentieren4
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!

Jetzt als Amazon Blitzangebot

Ab 00:00 Uhr Vera F. Birkenbihl - Führungskräfteseminar
Vera F. Birkenbihl - Führungskräfteseminar
Original Amazon-Preis
69,98
Im Preisvergleich ab
61,99
Blitzangebot-Preis
35,00
Ersparnis zu Amazon 50% oder 34,98

Interessantes bei eBay

Tipp einsenden