Brian Curtis
0 
2514
347
EBay har et ry for mindre end stjernernes sikkerhedspraksis, og det ser ud til, at det ikke bliver bedre når som helst. En for nylig eksponeret sikkerhedssårbarhed sætter nogle brugere i fare, og eBay har besluttet kun at udstede en delvis løsning i stedet for en komplet en.
Her er hvad du har brug for at vide om sårbarheden, hvordan det fungerer, og hvordan man forbliver sikker.
Aktivt indhold, XSS og eBay-svindel
Den pågældende særlige sikkerhedssårbarhed er knyttet til “aktivt indhold,” som sælgere kan integrere i deres annoncer. Aktivt indhold kan bruge en række forskellige teknologier til at gøre en varebeskrivelse mere interessant eller nyttig - det kan være en lille Flash-app, en JavaScript-menu, en webafstemning eller noget andet, der er integreret og interaktivt. I den annonce, der er afbildet nedenfor, er det et script kaldet “xsellgalleryscript” der prøver at få dig til at købe andre varer fra sælgeren.
I de fleste tilfælde er aktivt indhold helt sikkert. Det er mildt sagt irriterende, men sikkert. Med scripting på tværs af websteder (XSS) Hvad er cross-site scripting (XSS), og hvorfor det er en sikkerhedstrussel Hvad er cross-site scripting (XSS), og hvorfor det er en sikkerhedstrussel, er cross-site scripting sårbarheder de største website sikkerhedsproblem i dag. Undersøgelser har fundet, at de er chokerende almindelige - 55% af websteder indeholdt XSS-sårbarheder i 2011 ifølge White Hat Securitys seneste rapport, der blev frigivet i juni…, et script, der er placeret på et andet sted, kan indlæses på en eBay-side, og det script kan være noget - det kunne downloade malware, forsøge at phish dine brugeroplysninger eller oprette andre slags kaos. Fordi dette angreb er et ret almindeligt, bruger eBay selvfølgelig filtre, der forsøger at forhindre det.
Desværre fandt nogen en vej igennem. Den bruger en teknik kaldet JSF * ck, en fascinerende måde at skrive JavaScript-kode ved kun at bruge seks tegn: [] ()! +. Med to parenteser, to parenteser, et udråbstegn og et plustegn kan du oprette og køre enhver JavaScript-kode.
Det er en sjov øvelse, ligesom Brainf ** k programmeringssprog 10 programmeringssprog, du sandsynligvis aldrig har hørt af 10 programmeringssprog, som du sandsynligvis aldrig har hørt om. Der er nogle meget underlige og bisarre programmeringssprog, der har vendt logik på hovedet og stadig har formået at forblive tro mod videnskaben om kommunikation med en computer. Du skal til…. Men det kan også bruges til at komme til eBay's filtre.
Et cybersikkerhedsfirma kaldet Check Point rapporterede først denne sårbarhed og erklærede, at den kunne bruges på skrivebordswebstedet eller via iOS- eller Android-apps til at downloade malware eller omdirigere brugere til phishing-sider, hvor de uforvarende kan give væk brugeroplysninger. Her er en video af et angreb i aktion:
Check Point demonstrerede og rapporterede denne sårbarhed til eBay i december 2015 og forventede, at de ville opdatere deres software for at forhindre udnyttelsen. Ifølge BBC fortalte eBay i Point i januar, at de ikke havde nogen planer om at løse sårbarheden, men at de implementerede en delvis løsning i februar. Hvorfor bare en delvis løsning? “[I] Det er vigtigt at forstå, at ondsindet indhold på vores markedsplads er usædvanligt usædvanligt,” eBay fortalte BBC.
På trods af eBay's insistering på, at risikoen for denne type angreb er ekstremt lav, rapporterede sikkerhedsfirmaet Netcraft, at det aktivt blev brugt til phish potentielle køberes e-mail-adresser. Hvad er nøjagtigt phishing og hvilke teknikker bruger svindlere? Hvad er nøjagtigt phishing og hvilke teknikker bruger svindlere? Jeg har aldrig været fan af fiskeri, mig selv. Dette skyldes mest en tidlig ekspedition, hvor min fætter lykkedes at fange to fisk, mens jeg fangede lynlås. Tilsvarende til fiskeri i virkeligheden er phishing-svindel ikke ... og opfordrer dem til at gennemføre betaling via en falsk escrow-tjeneste. Og fidus arbejdede - Netcraft har delt skærmbilleder af en foruroliget brugers andragende om hjælp, efter at de blev fortalt af eBay, politiet og hans bank, at de ikke kunne hjælpe ham.
Sådan beskytter du dig mod XSS-sikkerhedsproblemet på eBay
Så længe eBay ikke løser dette problem fuldstændigt, er der en chance for, at du kan løbe ind i en fortegnelse, som en svindler har kompromitteret og sat dig i fare. Der er dog et par ting, du kan gøre for at mindske din risiko for at blive fanget.
Den første ting, du skal gøre, er at sikre dig, at du bruger en klik-til-spil-evne i din browser. Chrome har denne mulighed indbygget, Firefox har den populære NoScript-udvidelse, og Safari-brugere kan installere JS Blocker 5. Dette forhindrer, at scripts indlæses, medmindre du specifikt giver dem tilladelse. Du skal ikke have brug for at indlæse dem på eBay, men hvis du gør det, kan du aktivere dem med et enkelt klik.
Hvis du aktiverer plugins, skal du være ekstra opmærksom for at sikre dig, at du ikke drages fordel af. Hver gang du skal klikke på a Køb det nu, Kom med et tilbud, eller Bud link på eBay, sørg for, at URL'en i din browser er ebay.com, og ikke noget andet. Hvis du phishing, vil domænet være noget andet end ebay.com.
Hvis du bruger en eBay-mobilapp, skal du sørge for at tjekke URL'en på en hvilken som helst linket side, især hvis det beder dig om eBay-loginoplysninger. Og download ikke andre apps! EBay-appen opfordrer dig ikke til at downloade noget andet. Som Brian Krebs, en af de bedste sikkerhedsbloggere derude, siger i sine 3 grundlæggende regler for online sikkerhed, hvis du ikke var på udkig efter det, skal du ikke installere det!
Ud over dette er det almindelige online markedspladssikkerhed. Kommuniker kun via webstedet og ikke via e-mail, uanset hvad. Klik ikke på links i e-mails fra eBay, bare gå til ebay.com, hvis e-mailen kom fra en svindler. Kontroller, om linkene på webstedet er sikre. 8 måder at sikre sig, at et link er sikkert, før du klikker på det. 8 måder at sikre, at et link er sikkert, før du klikker på det. Hyperlinks, som vi alle ved, er de strenge, der udgør internettet. Men ligesom edderkopperne kan den digitale web fange det intetanende. Selv de mere vidende blandt os klikker på links, som ... inden du bruger dem. Brug en stærk adgangskode Sådan genereres stærke adgangskoder, der matcher din personlighed Sådan genereres stærke adgangskoder, der matcher din personlighed Uden en stærk adgangskode kunne du hurtigt finde dig selv i den modtagende ende af en cyber-kriminalitet. En måde at oprette en mindeværdig adgangskode kunne være at matche den til din personlighed. , og ændre det regelmæssigt. Alle de regelmæssige “hold dig sikker” tip, som vi deler hele tiden, gælder også her.
Bliv ikke fanget af denne eBay-scripting-scam fra websteder
Beskyttelse af dig selv mod svindel på eBay 10 eBay-svindel for at være opmærksom på 10 eBay-svindel for at være opmærksom på at blive svindlet suger, især på eBay. Her er de mest almindelige eBay-svindel, du har brug for at vide om, og hvordan du undgår dem. kræver lidt årvågenhed og lidt proaktiv forebyggelse. Mellem at bruge en script-blokerende browser eller udvidelse, se efter mistænkelige URL-adresser og sørge for at passe på for mærkelige downloads eller anmodninger, skal du være helt i orden, selvom eBay ikke løser denne sårbarhed (som de sandsynligvis ikke vil gøre, i det mindste et stykke tid). Så tag et par hurtige skridt, og kom tilbage til at spare masser af penge ved at shoppe på eBay 10 tip til shopping på eBay som en chef 10 tip til at handle på eBay som en chef Disse 10 eBay-tip hjælper dig med at optimere dit søgning og byde på sparer dig en masse penge på de varer, du leder efter. !
Handler du på eBay? Bekymrer deres registrering af ikke-handlinger vedrørende sikkerhedssårbarheder dig? Er det mindre sandsynligt, at du handler der, fordi de ikke har reageret godt på rapporteringen af denne specielle fejl? Del dine tanker nedenfor!
Billedkreditter: hacker af Photosani via Shutterstock