1638338

Ebay schließt zwei kritische Sicherheitslücken

26.11.2012 | 11:26 Uhr |

Hacker verschaffen sich Zutritt zu Ebay. Per SQL-Injection und Cross-Site-Scripting war dies bis vor kurzem noch möglich. Ebay hat die Lücken nun geschlossen.

In seinem Blog macht der Sicherheitsexperte David Vieira-Kurz auf eine SQL-Injection-Lücke von Ebay aufmerksam. Er habe die Lücke an Ebay gemeldet und dort sei sie nach 20 Tagen geschlossen worden. Mittlerweile soll man also wieder vor ihr sicher sein. Die Lücke soll sich auf der Verkäufer-Seite http://sea.ebay.com/news.php befunden haben. Unter SQL-Injection versteht man das Einschleusen von Datenbank-Kommandos, die dem Angreifer Zugriff auf die Datenbank gewähren.
 
Die zweite Lücke hat der Sicherheitsexperte Shubham Upadhyay alias Cyb3R_Shubh4M entdeckt. Es handelt sich dabei um eine Cross-Site-Scripting-Lücke (XSS). Per Cross-Site-Scripting schleusen Hacker Javascript-Code auf Webseiten ein – etwa in lückenhaften Gästebüchern oder Foren. Die Ebay-XSS-Lücke soll im Erstellen-Formular für Verkaufslisten von Verkäufern gesteckt haben. Dort habe man als Verkäufer den schadhaften Code einfügen können und damit Betrachtern der Liste Schaden zufügen können. Wie theregister.com berichtet, soll der Code seine Opfer auf Auktionen bieten lassen können, ohne dass diese etwas davon mitbekommen.
 
Die Lücke sei aber mittlerweile geschlossen, zitiert theregister.com eine Sprecherin von Ebay. Bei Ebay scanne man zudem automatisch nach Cross-Site-Scripting-Lücken, soll die Sprecherin versichert haben. Man setze außerdem auf etliche weitere Security-Tools im Kampf gegen Hacker.
 
Dominique Karg, Chief Hacking Officer von AlienVault, stuft die geschlossene XSS-Lücke gegenüber theregister.com als hoch-kritisch ein. Man hätte sie auch dazu nutzen können, dem Ebay-User schadhafte Downloads unterzujubeln oder in seinem Namen falsche Produkte anzubieten.

0 Kommentare zu diesem Artikel
1638338