對賣家來說eBay的交易足夠安全嗎?
責編:admin |2014-09-24 12:58:54罪犯利用eBay的安全弱點,可能導致消費者重定向到一個惡意網頁,并且試圖竊取消費者的銀行賬戶信息。
英國廣播公司(BBC)首次報道了詐騙,他們已經鑒定了超過100多個的上架物品使得ebay消費者訪問一個需要用戶名和密碼的貌似官網的頁面。
Ebay在其網站上已經列出7億多物品,所以惡意的上架物品比例很小。但是研究人員說這足以構成威脅,告誡用戶應該小心瀏覽的網站,以防被重定向
Ebay承認,網站易受到所謂的跨站點腳本攻擊,一種最常見的網站攻擊。
Ebay的發言人Ryan Moore在電子郵件中說道:"由個人惡意實施跨站點腳本是影響網站在互聯網上的一個問題,這不再是一個新的漏洞在Ebay等網站上。 "
XSS是通過用戶的字段類信息注入惡意代碼到網頁的一種方法。攻擊者使用技術開發Javascript和flash ebay 讓賣家寫一些能夠吸引更多買家的東西在他們的商店內。
Moore 還說,罪犯在跨站點腳本和釣魚活動背后調整他們的代碼,試圖保持領先的最安全的系統,但是跨站點的腳本在Ebay上是不允許的,我們將有一套安全設計來監測和清除包含在內的惡意代碼。
BBC在周一報道,自2月以來XSS在這個站點上就有問題。網站安全專家特洛伊·亨特說,因為Ebay給賣家設計自由在平衡安全方面,在站點和在線市場上XSS的攻擊風險將更大,并且沒有這種權衡交易。他還說,ebay現在一個棘手問題是,他們想給顧客設計自由,但是這種自由會導致頁面的修改,那么同時也就為惡意侵害XSS開通了一條道路。
F-Secure的高級調查員Timo說ebay需要一個不同的方式讓賣家定制他們的商店。
為了減少XSS有效性攻擊,他還建議使用白名單方式接近Javascript,所以只允許預先操作。目前,ebay可以使用類似黑名單方式阻止使用某些技術。
Timo還說這種模型存在根本性的缺陷,ebay試圖否認人們會找到一種做這些事的方法。另外一個選擇是ebay可以為賣家提高javascript代碼,盡管可能減少定制水平,但是將會更加安全。