Cross Site Scripting: Warnung vor Sicherheitslücke bei Ebay
Vor rund zwei Monaten hat ein Mitarbeiter der Securityfirma Greenbone eine Sicherheitslücke bei Ebay entdeckt und gemeldet. Passiert ist bisher allem Anschein nach nichts - das bestehende Problem kann dazu genutzt werden, über eBay Schadecode zu verteilen.
Nach den öffentlichen Vorwürfen gab es bereits eine Reaktion seitens Ebay. Gegenüber Golem erklärte ein Pressesprecher, dass man das Problem als akzeptables Risiko einstufe und Technologien einsetze, die eine Ausnutzung der Cross-Site-Scripting-Lücke verhinderten.
"Viele unserer Verkäufer nutzen Technologien wie JavaScript oder Flash, sogenannte aktive Inhalte, um ihre Angebote auf dem eBay-Marktplatz attraktiver zu gestalten. Uns ist bewusst, dass es auch Möglichkeiten gibt, entsprechende Technologien in missbräuchlicher Absicht zu verwenden. Vor diesem Hintergrund haben wir ein mehrstufiges Sicherheitssystem aufgebaut, um die Verwendung von bösartigem Code zu verhindern und zu entdecken. Erstens setzen wir Technologien ein, die Verkäufer daran hindern, bestimmte aktive Inhalte in ihren Artikelbeschreibungen zu verwenden.
Zweitens wenden wir Technologien an, die uns dabei unterstützen, bösartigen Code in Artikelbeschreibungen zu entdecken und entsprechende Angebote zu löschen.
Drittens passen wir unsere Sicherheitssysteme kontinuierlich an, sobald wir von neuen Formen von bösartigem Code erfahren. Die Sicherheit von eBay und von unseren Nutzern ist für uns zentral. Wir bitten jeden, der glaubt, eine Vulnerabilität unserer Seite entdeckt zu haben, uns darüber so schnell wie möglich über unser Sicherheitscenter zu informieren."
Ob diese Aussage von Ebay allerdings genau auf den von Greenbone gemeldeten Fall antwortet, erscheint nicht ganz klar zu sein. Denn der Mitarbeiter war laut eigenen Angaben ja gerade nicht auf ein Hindernis durch die von Ebay eingesetzte Software zum Entfernen von bösartigem Code gestoßen.
Die nun gerügte Sicherheitslücke steht nicht in Verbindung zu dem bekannt gewordenen Daten-Diebstahl bei Ebay. Interessant ist dennoch, wie sich die Vorfälle zeitlich gleichen.
Cross Site Scripting
Das jetzt gemeldete Sicherheitsproblem ist ein alter Bekannter: es handelt sich um eine Cross-Site-Scripting-Schwachstelle. Bereits 2011 hatte Heise von einen dem jetzt bekannt gewordenen Fehler sehr ähnlichen Fall berichtet. Dabei können Angreifer über Angeboteseiten unautorisierten Code einschleusen, der dann beispielsweise Schadecode verteilt. Um die Vorwürfe zu belegen, hat der Greenbone-Mitarbeiter selbst eine solche Seite erstellt und den Angriff demonstriert.Nach den öffentlichen Vorwürfen gab es bereits eine Reaktion seitens Ebay. Gegenüber Golem erklärte ein Pressesprecher, dass man das Problem als akzeptables Risiko einstufe und Technologien einsetze, die eine Ausnutzung der Cross-Site-Scripting-Lücke verhinderten.
"Viele unserer Verkäufer nutzen Technologien wie JavaScript oder Flash, sogenannte aktive Inhalte, um ihre Angebote auf dem eBay-Marktplatz attraktiver zu gestalten. Uns ist bewusst, dass es auch Möglichkeiten gibt, entsprechende Technologien in missbräuchlicher Absicht zu verwenden. Vor diesem Hintergrund haben wir ein mehrstufiges Sicherheitssystem aufgebaut, um die Verwendung von bösartigem Code zu verhindern und zu entdecken. Erstens setzen wir Technologien ein, die Verkäufer daran hindern, bestimmte aktive Inhalte in ihren Artikelbeschreibungen zu verwenden.
Zweitens wenden wir Technologien an, die uns dabei unterstützen, bösartigen Code in Artikelbeschreibungen zu entdecken und entsprechende Angebote zu löschen.
Drittens passen wir unsere Sicherheitssysteme kontinuierlich an, sobald wir von neuen Formen von bösartigem Code erfahren. Die Sicherheit von eBay und von unseren Nutzern ist für uns zentral. Wir bitten jeden, der glaubt, eine Vulnerabilität unserer Seite entdeckt zu haben, uns darüber so schnell wie möglich über unser Sicherheitscenter zu informieren."
Ob diese Aussage von Ebay allerdings genau auf den von Greenbone gemeldeten Fall antwortet, erscheint nicht ganz klar zu sein. Denn der Mitarbeiter war laut eigenen Angaben ja gerade nicht auf ein Hindernis durch die von Ebay eingesetzte Software zum Entfernen von bösartigem Code gestoßen.
Die nun gerügte Sicherheitslücke steht nicht in Verbindung zu dem bekannt gewordenen Daten-Diebstahl bei Ebay. Interessant ist dennoch, wie sich die Vorfälle zeitlich gleichen.
Thema:
eBays Aktienkurs
Beliebte eBay-Downloads
Videos zum Thema eBay
Beiträge aus dem Forum
Weiterführende Links
Neue Nachrichten
- Aktuelle Technik-Blitzangebote von Amazon im Überblick
- Microsoft erklärt: Das sind die Update-Typen für Windows 11
- VW ID Polo: Elektro-Kleinwagen startet in Kürze für unter 25.000 Euro
- Nächstes FritzOS-Update sichert WireGuard-VPN per Kill-Switch
- Lidl Datenleck: Hacker erbeuten sensible Kundendaten im Netz
- Disney+ plant Gratis-Tarif: Werbefinanziertes Streaming kommt
- Fenster bricht im Flug, saugt Mann teilweise aus einer Ryanair-Maschine
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Alle Kommentare zu dieser News anzeigen