Cross Site Scripting: Warnung vor Sicherheitslücke bei Ebay

Vor rund zwei Monaten hat ein Mitarbeiter der Securityfirma Greenbone eine Sicherheitslücke bei Ebay entdeckt und gemeldet. Passiert ist bisher allem Anschein nach nichts - das bestehende Problem kann dazu genutzt werden, über eBay Schadecode zu verteilen.
Logo, Ebay, Online-Auktionshaus
Ebay


Cross Site Scripting

Das jetzt gemeldete Sicherheitsproblem ist ein alter Bekannter: es handelt sich um eine Cross-Site-Scripting-Schwachstelle. Bereits 2011 hatte Heise von einen dem jetzt bekannt gewordenen Fehler sehr ähnlichen Fall berichtet. Dabei können Angreifer über Angeboteseiten unautorisierten Code einschleusen, der dann beispielsweise Schadecode verteilt. Um die Vorwürfe zu belegen, hat der Greenbone-Mitarbeiter selbst eine solche Seite erstellt und den Angriff demonstriert.

Nach den öffentlichen Vorwürfen gab es bereits eine Reaktion seitens Ebay. Gegenüber Golem erklärte ein Pressesprecher, dass man das Problem als akzeptables Risiko einstufe und Technologien einsetze, die eine Ausnutzung der Cross-Site-Scripting-Lücke verhinderten.

"Viele unserer Verkäufer nutzen Technologien wie JavaScript oder Flash, sogenannte aktive Inhalte, um ihre Angebote auf dem eBay-Marktplatz attraktiver zu gestalten. Uns ist bewusst, dass es auch Möglichkeiten gibt, entsprechende Technologien in missbräuchlicher Absicht zu verwenden. Vor diesem Hintergrund haben wir ein mehrstufiges Sicherheitssystem aufgebaut, um die Verwendung von bösartigem Code zu verhindern und zu entdecken. Erstens setzen wir Technologien ein, die Verkäufer daran hindern, bestimmte aktive Inhalte in ihren Artikelbeschreibungen zu verwenden.

Zweitens wenden wir Technologien an, die uns dabei unterstützen, bösartigen Code in Artikelbeschreibungen zu entdecken und entsprechende Angebote zu löschen.

Drittens passen wir unsere Sicherheitssysteme kontinuierlich an, sobald wir von neuen Formen von bösartigem Code erfahren. Die Sicherheit von eBay und von unseren Nutzern ist für uns zentral. Wir bitten jeden, der glaubt, eine Vulnerabilität unserer Seite entdeckt zu haben, uns darüber so schnell wie möglich über unser Sicherheitscenter zu informieren."

Ob diese Aussage von Ebay allerdings genau auf den von Greenbone gemeldeten Fall antwortet, erscheint nicht ganz klar zu sein. Denn der Mitarbeiter war laut eigenen Angaben ja gerade nicht auf ein Hindernis durch die von Ebay eingesetzte Software zum Entfernen von bösartigem Code gestoßen.

Die nun gerügte Sicherheitslücke steht nicht in Verbindung zu dem bekannt gewordenen Daten-Diebstahl bei Ebay. Interessant ist dennoch, wie sich die Vorfälle zeitlich gleichen.
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
eBays Aktienkurs
Jetzt als Amazon Blitzangebot
Ab 06:20 Uhr ?Verbessert? Urvolax Wireless Apple Carplay Android Auto, 7-Zoll HD IPS Tragbares Touchscreen Carplay Display, Car Play Monitor Unterstützt Bluetooth 5.0/AUX/FM/GPS Navi/Airplay/Mirror Link 12-24V?Verbessert? Urvolax Wireless Apple Carplay Android Auto, 7-Zoll HD IPS Tragbares Touchscreen Carplay Display, Car Play Monitor Unterstützt Bluetooth 5.0/AUX/FM/GPS Navi/Airplay/Mirror Link 12-24V
Original Amazon-Preis
189,99
Im Preisvergleich ab
189,99
Blitzangebot-Preis
119,99
Ersparnis zu Amazon 37% oder 70
Im WinFuture Preisvergleich
Tipp einsenden
❤ WinFuture unterstützen
Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Links, um WinFuture zu unterstützen: Vielen Dank!