一大拨漏洞来袭 eBay的黑色星期五

安全 漏洞
eBay没有保护好自己用户的数据,在之前他也犯过类似的错误,但是这次显然eBay的安全团队没有吸取到前车之鉴。这次他们同样要为自己对安全的消极态度买单。

写在前面:

eBay没有保护好自己用户的数据,在之前他也犯过类似的错误,但是这次显然eBay的安全团队没有吸取到前车之鉴。这次他们同样要为自己对安全的消极态度买单。

正文:

在不到36小时之内,eBAY就再次报出了3个高危的,能够导致用户数据泄露的漏洞。即使你在最后一次安全通告之后修改了密码,你的账号依旧存在风险。

5月22号,eBAY承认了海量数据的泄露,大约有14500万来自世界各地用户的账户信息遭到了泄漏。产生这个问题的原因是eBAY的基础架构存在漏洞。

5月23号的早晨一定是,eBAY安全工程师最头疼的一个早上,因为他们要处理三个截然不同的

高危漏洞,这三个漏洞都会把14500万的账户信息暴漏在风险之中。

HACKER UPLOADED SHELL ON eBAY SERVER

这是一个上传漏洞,由Jordan Jones发现。这个漏洞可以导致员工账号能上传一个webshell。

Jordan在twitter上报告了这个漏洞,并且附带了一个webshell的截图作为POC。

一大拨漏洞来袭 eBay的黑色星期五

现在这个文件的确是存在于eBAY的web服务器上,

https://dsl.ebay.com/wp-includes/Text/Diff/Engine/shell.php

只不过内容被修改为空白。

在blog上Jordan也同时贴出了labs.ebay.com的一些跨站漏洞。

PERSISTENT XSS VULNERABILITY ON eBAY

Michael E 一个来自德国的安全研究员向Hacker News报告了他发现的一个,eBAY上的存储型xss漏洞。

一大拨漏洞来袭 eBay的黑色星期五

当用户访问攻击者构造的页面时,恶意的js代码就会执行,劫持你的账号。

下面是POC页面。

http://www.ebay.de/itm/script-script-alert-1-script-x-onfocus-alert-1-autofocus-onl-/281257333177

COOKIE RE-USE VULNERABILITY

另外,eBay的登陆cookie可以被重复使用,即使用户登出或者修改密码。这个漏洞可以和上一个XSS漏洞配合使用。

ACCOUNT HIJACKING VULNERABILITY (CRITICAL AND UNPATCHED)

一个埃及安全研究者Yasser H. Ali,发现了一个可以造成用户劫持的漏洞。不过遗憾的是,我们还不能公布细节。Yasser给我们了详细的POC,我们也把这个漏洞报告给了eBay,在eBay将这个漏洞处理好之后我们才会放出相关细节。

eBAY #FAILURE

eBay没有保护好自己用户的数据,在之前他也犯过类似的错误,但是这次显然eBay的安全团队没有吸取到前车之鉴。这次他们同样要为自己对安全的消极态度买单。

责任编辑:蓝雨泪 来源: FreeBuf
相关推荐

2017-04-28 11:50:02

电商搜索WOT

2012-11-26 13:28:29

亚马逊云平台电子商务

2021-11-23 13:51:44

黑客攻击恶意代码

2021-12-01 12:02:41

礼品卡骗局黑色星期五加密货币

2017-04-26 17:58:19

电商搜索WOT

2015-11-27 11:32:34

阿里云黑色星期五

2014-09-28 09:34:17

2016-11-25 10:50:18

海信电视

2021-11-26 14:41:57

犯罪分子网络钓鱼恶意软件

2015-11-27 10:10:23

2012-11-28 09:20:48

AndroidiOS网络活跃度

2014-12-01 12:57:46

亚马逊天猫海淘

2012-12-10 09:49:28

2018-11-23 10:58:17

黑五数据泄露数据保护

2011-11-23 09:11:36

API

2021-11-10 10:13:57

网络购物骗局黑客

2015-08-03 11:50:18

灌水动画

2015-11-09 16:41:44

BlueHost

2011-11-28 09:58:30

PhoneGapAppMobiHTML5

2015-10-15 11:15:32

阿里云云栖大会云计算
点赞
收藏

51CTO技术栈公众号