Lesley Fowler
0 
3807
243
EBay ma reputację mniej niż gwiazdorskich praktyk bezpieczeństwa i wygląda na to, że w najbliższym czasie nie poprawi się. Niedawno ujawniona luka w zabezpieczeniach zagraża niektórym użytkownikom, a eBay zdecydował się wydać tylko częściową poprawkę zamiast kompletnej.
Oto, co musisz wiedzieć o luce, jak to działa i jak zachować bezpieczeństwo.
Aktywne treści, XSS i oszustwa w serwisie eBay
Szczególna luka w zabezpieczeniach jest związana “aktywna treść,” które sprzedawcy mogą umieścić w swoich reklamach. Aktywna treść może wykorzystywać wiele różnych technologii, aby uczynić opis przedmiotu bardziej interesującym lub użytecznym - może to być mała aplikacja Flash, menu JavaScript, ankieta internetowa lub cokolwiek innego, co jest osadzone i interaktywne. Na poniższej reklamie jest to skrypt o nazwie “xsellgalleryscript” który próbuje skłonić Cię do kupowania innych przedmiotów od sprzedawcy.
W większości przypadków zawartość aktywna jest całkowicie bezpieczna. Jest to lekko irytujące, ale bezpieczne. Jednak w przypadku skryptów krzyżowych (XSS) Co to jest skryptów krzyżowych (XSS) i dlaczego jest to zagrożenie bezpieczeństwa Czym jest skryptów krzyżowych (XSS) i dlaczego jest to zagrożenie bezpieczeństwa Luki w skryptach krzyżowych są największe problem bezpieczeństwa strony internetowej dzisiaj. Badania wykazały, że są szokująco częste - 55% stron zawierało luki w zabezpieczeniach XSS w 2011 r., Zgodnie z najnowszym raportem White Hat Security opublikowanym w czerwcu…, skrypt umieszczony na innej stronie można załadować na stronie eBay i ten skrypt może to być wszystko - może pobierać złośliwe oprogramowanie, próbować wyłudzić dane uwierzytelniające użytkownika lub stworzyć inny rodzaj chaosu. Oczywiście, ponieważ atak ten jest dość powszechny, eBay używa filtrów, które próbują go zapobiec.
Niestety ktoś znalazł drogę. Wykorzystuje technikę o nazwie JSF * ck, fascynujący sposób pisania kodu JavaScript przy użyciu tylko sześciu znaków: [] ()! +. Za pomocą dwóch nawiasów, dwóch nawiasów, wykrzyknika i znaku plus możesz utworzyć i uruchomić dowolny kod JavaScript.
To zabawne ćwiczenie, takie jak język programowania Brainf ** k 10 języków programowania, których prawdopodobnie nigdy nie słyszałeś 10 języków programowania, których prawdopodobnie nigdy nie słyszałeś Istnieją pewne bardzo dziwne i dziwne języki programowania, które zmieniły logikę na głowie i wciąż zdołały pozostań wierny nauce o komunikacji z komputerem. Idziesz do… . Ale można go również wykorzystać do uzyskania filtrów eBay.
Firma zajmująca się cyberbezpieczeństwem, o nazwie Check Point, po raz pierwszy zgłosiła tę lukę i stwierdziła, że można jej użyć w witrynie na komputery stacjonarne lub za pośrednictwem aplikacji na iOS lub Androida do pobierania złośliwego oprogramowania lub przekierowywania użytkowników na strony phishingowe, na których mogą przypadkowo podać dane uwierzytelniające użytkownika. Oto wideo z ataku w akcji:
Check Point zademonstrował tę usterkę eBayowi i zgłosił ją w grudniu 2015 r., Spodziewając się, że zaktualizują swoje oprogramowanie, aby zapobiec exploitowi. Według BBC, eBay powiedział Check Point w styczniu, że nie planuje naprawy luki, ale wdrożył częściową poprawkę w lutym. Dlaczego tylko częściowa poprawka? “[Ważne], aby zrozumieć, że złośliwe treści na naszym rynku są wyjątkowo rzadkie,” eBay powiedział BBC.
Pomimo nacisków eBay, że ryzyko tego typu ataku jest wyjątkowo niskie, firma ochroniarska Netcraft poinformowała, że był aktywnie wykorzystywany do phishingu adresów e-mail potencjalnych nabywców. Jakiego dokładnie phishingu i jakich technik używają oszuści? Czym dokładnie jest phishing i jakich technik używają oszuści? Sam nigdy nie byłem fanem rybołówstwa. Wynika to głównie z wczesnej wyprawy, kiedy mój kuzyn zdołał złapać dwie ryby, podczas gdy ja złapałem zip. Podobnie jak w prawdziwym rybołówstwie, wyłudzanie informacji nie jest… i zachęca ich do dokonania płatności za pomocą fałszywej usługi depozytowej. I oszustwo zadziałało - Netcraft udostępnił zrzuty ekranu z powodu niezadowolenia użytkownika o pomoc po tym, jak eBay, policja i jego bank poinformowali go, że nie mogą mu pomóc.
Jak chronić się przed usterką XSS w serwisie eBay
Tak długo, jak eBay nie naprawi całkowicie tego problemu, istnieje szansa, że możesz natknąć się na listę, na którą oszust włamał się i narazić się na ryzyko. Jest jednak kilka rzeczy, które możesz zrobić, aby zmniejszyć ryzyko przyłapania.
Pierwszą rzeczą, którą powinieneś zrobić, to upewnić się, że używasz funkcji „kliknij, aby odtworzyć” w przeglądarce. Chrome ma tę wbudowaną funkcję, Firefox ma popularne rozszerzenie NoScript, a użytkownicy Safari mogą zainstalować JS Blocker 5. Zapobiegnie to ładowaniu skryptów, chyba że wyraźnie im na to zezwolisz. Nie musisz ładować ich w serwisie eBay, ale jeśli to zrobisz, możesz je włączyć jednym kliknięciem.
Jeśli włączysz wtyczki, będziesz musiał być bardzo czujny, aby upewnić się, że nie zostaniesz wykorzystany. Ilekroć masz zamiar kliknąć Kup Teraz, Złóż ofertę, lub Stawka link w serwisie eBay, upewnij się, że adres URL w przeglądarce to ebay.com, a nie coś innego. Jeśli jesteś wyłudzany, domena będzie inna niż ebay.com.
Jeśli korzystasz z aplikacji mobilnej na eBayu, sprawdź dokładnie adres URL strony, do której prowadzi link, zwłaszcza jeśli prosi o podanie danych logowania do serwisu eBay. I nie pobieraj żadnych innych aplikacji! Aplikacja eBay nie zachęci Cię do pobrania czegoś innego. Jak Brian Krebs, jeden z najlepszych blogerów zajmujących się bezpieczeństwem, mówi w swoich 3 podstawowych zasadach bezpieczeństwa online, jeśli nie szukałeś go, nie instaluj go!
Poza tym jest to standardowe narzędzie bezpieczeństwa na rynku online. Komunikuj się tylko za pośrednictwem strony internetowej, a nie przez e-mail, bez względu na wszystko. Nie klikaj linków w wiadomościach e-mail z serwisu eBay, po prostu przejdź do witryny ebay.com na wypadek, gdyby wiadomość e-mail pochodziła od oszusta. Sprawdź, czy linki na stronie są bezpieczne 8 sposobów, aby upewnić się, że link jest bezpieczny, zanim go klikniesz 8 sposobów, aby upewnić się, że link jest bezpieczny, zanim go klikniesz Hiperłącza, jak wszyscy wiemy, to nici, które tworzą sieć. Ale tak jak pająki, cyfrowa sieć może uwięzić niczego nie podejrzewających. Nawet bardziej kompetentni spośród nas klikają linki, które… zanim ich użyjesz. Używaj silnego hasła Jak wygenerować silne hasła pasujące do Twojej osobowości Jak wygenerować silne hasło, które pasują do Twojej osobowości Bez silnego hasła szybko możesz znaleźć się na krańcu cyberprzestępczości. Jednym ze sposobów na stworzenie pamiętnego hasła może być dopasowanie go do swojej osobowości. i zmieniaj go regularnie. Wszystko regularnie “bądź bezpieczny” obowiązują tu również wskazówki, które udostępniamy przez cały czas.
Nie daj się złapać temu oszustwu w serwisie eBay
Zabezpieczanie się przed oszustwami w serwisie eBay Oszustwa w serwisie eBay 10 - należy pamiętać o 10 Oszustwach w serwisie eBay - być świadomym oszustwa, do bani, zwłaszcza w serwisie eBay. Oto najczęstsze oszustwa w serwisie eBay, o których musisz wiedzieć i jak ich uniknąć. wymaga nieco czujności i proaktywnej profilaktyki. Pomiędzy używaniem przeglądarki lub rozszerzenia blokującego skrypty, sprawdzaniem podejrzanych adresów URL i pilnowaniem dziwnych pobrań lub próśb, powinieneś być w porządku, nawet jeśli eBay nie naprawi tej luki (czego prawdopodobnie nie zrobią, Przynajmniej przez chwilę). Więc zrób kilka szybkich kroków i wróć do oszczędzania mnóstwa pieniędzy, robiąc zakupy w serwisie eBay 10 Wskazówki dotyczące zakupów w serwisie eBay Like a Boss 10 Wskazówki dotyczące zakupów w serwisie eBay Like a Boss Te 10 wskazówek w serwisie eBay pomoże zoptymalizować wyszukiwanie i licytować, aby zaoszczędzić dużo pieniędzy na poszukiwanych przedmiotach. !
Czy robisz zakupy w serwisie eBay? Czy niepokoi Cię ich rejestr braku działań w przypadku luk w zabezpieczeniach? Czy rzadziej kupujesz w sklepie, ponieważ nie zareagowali dobrze na zgłoszenie tego konkretnego błędu?? Podziel się swoimi przemyśleniami poniżej!
Kredyty obrazkowe: haker Photosani przez Shutterstock