Session Hijacking: Ebay weiß seit einem Jahr von XSS-Lücke
Schon vor gut einem Jahr hat der aus Estland stammende Sicherheitsforscher Jaanus Kääp eine problematische Cross-Site-Scripting-Sicherheitslücke (kurz XSS) im Ebay Kommunikationssystem entdeckt und an Ebay übermittelt. Seither ist aber nicht viel geschehen.
Laut einem neuen Bericht von Threat Post klafft die Lücke noch immer im Nachrichtensystem. Dabei kann ein Angreifer das Kommunikationssystem von Ebay so nutzen, dass er eine manipulierte Bildübertragung nutzt, um auf den Account seines Gegenüber vollen Zugriff zu erhalten. Und das funktioniert so: Der Angreifer schickt ein Bild und über das Nachrichtensystem und fängt den Request mithilfe eines Tools ab. Der "Get"-Parameter des Request wird dann manipuliert. Mit Hilfe weiterer Tricks kann ein Angreifer mit einer manipulierter Nachricht die aktuelle Session seines Gegenübers aufzeichnen. Er hätte dann vollen Zugriff auf alle Daten des Accounts. So lang Ebay nicht überall auf HTTPonly setze, wird das XSS-Problem für schädliche Übergriffe ausgenutzt werden können, so Kääp.
Mit Hilfe eines abgefangenen und manipulierten Request kann es zum Session Hijacking kommen.
Kääp selbst hat in dieser Woche das Vorgehen eines möglichen Angreifers detailliert in seinem Blog dokumentiert. Dazu hat er seine Geschichte veröffentlicht, wie Ebay seine Sicherheitsbedenken seit über einem Jahr ignoriert. Daher, so Kääp, müsse er im Umkehrschluss davon ausgehen, dass die gefundene XSS-Lücke gar nicht so gefährlich sei wie er glaube und bringt sie an die Öffentlichkeit.
In seinem Fall habe Ebay ihn zunächst mit einer vorgefertigten Email abgespeist. Darin hieß es, dass man das gemeldete Problem prüfen werde. Über einen Zeitplan für die Behebung des Problems könne Ebay aber keinerlei Angaben machen. Soweit sei das auch gängige Praxis, schrieb der Sicherheitsforscher.
Allerdings wunderte er sich, als er nach drei Monaten wieder schaute, ob die XSS-Lücke gefixt sei - das war sie nämlich nicht.
Eine erneute Kontaktaufnahme mit Ebay verlief wie beim ersten Mal, ohne dass Kääp konkrete Lösungshinweise erhielt. Nach über einem Jahr ist die Lücke nun noch immer existent. Kääp hofft, dass Ebay nun nach der Veröffentlichung endlich reagiert. Denn das Problem sei mit wenigen Hangriffen behoben, meint er. So ist es ein Einfallstor für Session Hijacking.
Mit Hilfe eines abgefangenen und manipulierten Request kann es zum Session Hijacking kommen.
Kääp selbst hat in dieser Woche das Vorgehen eines möglichen Angreifers detailliert in seinem Blog dokumentiert. Dazu hat er seine Geschichte veröffentlicht, wie Ebay seine Sicherheitsbedenken seit über einem Jahr ignoriert. Daher, so Kääp, müsse er im Umkehrschluss davon ausgehen, dass die gefundene XSS-Lücke gar nicht so gefährlich sei wie er glaube und bringt sie an die Öffentlichkeit.
Umgang mit Problemmeldern
Das ist natürlich vielmehr eine Trotzreaktion, als ein Hinweis zur Gefährlichkeit, weiß Kääp selbst. Firmen müssten laut Kääp allerdings mehr Verantwortung übernehmen und auch sehr viel besser mit solchen Hinweisen umgehen lernen.In seinem Fall habe Ebay ihn zunächst mit einer vorgefertigten Email abgespeist. Darin hieß es, dass man das gemeldete Problem prüfen werde. Über einen Zeitplan für die Behebung des Problems könne Ebay aber keinerlei Angaben machen. Soweit sei das auch gängige Praxis, schrieb der Sicherheitsforscher.
Allerdings wunderte er sich, als er nach drei Monaten wieder schaute, ob die XSS-Lücke gefixt sei - das war sie nämlich nicht.
Eine erneute Kontaktaufnahme mit Ebay verlief wie beim ersten Mal, ohne dass Kääp konkrete Lösungshinweise erhielt. Nach über einem Jahr ist die Lücke nun noch immer existent. Kääp hofft, dass Ebay nun nach der Veröffentlichung endlich reagiert. Denn das Problem sei mit wenigen Hangriffen behoben, meint er. So ist es ein Einfallstor für Session Hijacking.
Thema:
eBays Aktienkurs
Beliebte eBay-Downloads
Videos zum Thema eBay
Beiträge aus dem Forum
Weiterführende Links
Neue Nachrichten
- Aktuelle Technik-Blitzangebote von Amazon im Überblick
- Samsung Health: App erhält riesiges Update mit vielen neuen Features
- HP bringt limitiertes Ferrari-Notebook - für 5600 Dollar
- Microsoft redet Klartext: Nutzer sollen KI-"süchtig" gemacht werden
- CPU-Nachfrage 'zerstört': Kunden verweigern sich hohen Preisen
- FritzOS 8.24: Frische Beta-Firmware landet auf fünf FritzBox-Routern
- Keine Stargate-Rückkehr: Prime Video streicht die geplante Serie
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen