EBay的安全实践不尽人意,并且很快就不会变得更好。最近暴露的安全漏洞正在使一些用户处于危险之中,eBay决定仅发布部分修复程序,而不是完全修复程序。
这里是您需要了解的漏洞,其工作原理,
活动内容,XSS和eBay骗局
有问题的特定安全漏洞与“活动内容"相关,卖家可以将其嵌入广告中。有效内容可以使用各种不同的技术来使商品描述更加有趣或有用-它可以是小型Flash应用程序,JavaScript菜单,网络民意调查或任何其他嵌入式和交互式的内容。在下面的广告中,该脚本名为“ xsellgalleryscript",试图让您从卖家那里购买其他物品。
在大多数情况下,有效内容是绝对安全的。有点烦人,但很安全。但是,使用跨站点脚本(XSS),可以将另一个站点上的脚本加载到eBay页面上,并且该脚本可以是任何内容-它可以下载恶意软件,尝试仿冒用户凭据或创建其他类型的混乱。当然,由于这种攻击是相当普遍的攻击,因此eBay使用尝试阻止这种攻击的过滤器。
不幸的是,有人找到了解决方法。它使用一种称为JSF * ck的技术,一种仅使用六个字符[]()!+编写JavaScript代码的迷人方法。带有两个括号,两个括号,一个感叹号和一个加号,您可以创建并运行任何JavaScript代码。
这是一个有趣的练习,就像Brainf ** k编程语言一样。但是也可以通过eBay的过滤器获取该漏洞。
一家名为Check Point的网络安全公司首先报告了此漏洞,并表示可以在台式机站点或通过iOS或Android应用程序下载该漏洞。恶意软件或将用户重定向到网页仿冒页面,他们可能会无意间泄露用户凭据。以下是正在发生的攻击的视频:
Check Point于2015年12月向eBay演示并报告了此漏洞,希望他们能够更新其软件以防止利用该漏洞。据英国广播公司报道,eBay在1月告诉Check Point他们没有修复漏洞的计划,但他们在2月实施了部分修复。为什么只是部分修复? eBay告诉英国广播公司:“重要的是要了解我们市场上的恶意内容非常罕见。"
尽管eBay坚持认为此类攻击的风险非常低,但据安全公司Netcraft报道该地址正被用于诱骗潜在买家的电子邮件地址,并鼓励他们通过伪造的托管服务来完成付款。骗局奏效了-Netcraft在eBay,警察和他的银行告诉他们无法帮助他之后,分享了一个沮丧的用户请愿的屏幕截图。
如何保护自己免受XSS攻击只要eBay不能完全解决此问题,eBay上的漏洞
,您就有可能碰到一个骗子入侵并危及自己风险的列表。不过,您可以采取一些措施来减少被抓到的风险。
您应该做的第一件事是确保您在浏览器中使用点击播放功能。 Chrome具有内置的此功能,Firefox具有流行的NoScript扩展,并且Safari用户可以安装JS Blocker5。这将阻止加载任何脚本,除非您特别授予它们权限。您不需要将它们加载到eBay上,但是如果您这样做,只需单击一下即可启用它们。
如果启用了插件,则必须格外警惕,以确保您没有被利用。每当您要点击eBay上的立即购买,进行报价或出价链接时,请确保浏览器中的网址是ebay.com,而不是其他。如果您被钓鱼,该域将不是ebay.com。
如果您使用的是eBay移动应用,请确保仔细检查任何链接页面的URL,尤其是在询问您eBay登录信息。而且不要下载任何其他应用! eBay应用程序不会鼓励您下载其他内容。正如目前最好的安全博客作者之一布莱恩·克雷布斯(Brian Krebs)在他的《在线安全的3条基本规则》中所说,如果您不查找它,请不要安装它!
除此之外,这是标准的在线市场安全产品。无论如何,只能通过网站进行通信,而不能通过电子邮件进行通信。不要点击来自eBay的电子邮件中的链接,如果电子邮件来自骗子,请访问ebay.com。检查网站上的链接是否安全,并定期进行更改。我们所有时间分享的所有常规“保持安全"技巧也都适用于此。
不要被这个eBay跨站点脚本骗局所吸引
保护自己来自eBay上的骗局!
您是否在eBay上购物?他们对安全漏洞不采取行动的记录是否使您担心?您是否因为他们对该特定错误的报告反应不佳而不太愿意在那购物? 在下面分享您的想法!
图片来源:Photosani的黑客通过Shutterstock
