 Na eBayu udało się zmodyfikować opisy towarów w taki sposób, że istnieje możliwość zamiany lub nadpisania dowolnych numerów produktów i adresu e-mail oferenta. Pozwala to na dokonywanie oszustw oraz pokazuje, że można obejść zabezpieczenia eBaya.
W ataku posłużono się metodą Cross-Site Scripting połączonej z językiem XBL. Pozwoliło to na wiązanie elementów dokumentu HTML ze skryptami, arkuszami CSS i kodem HTML umieszczonymi na innej stronie WWW. Nie wiadomo na razie, gdzie tkwi błąd, lecz wiadomo, że wymaga to włączenie do zasobów eBaya własnego kodu. Mimo, że nie powinno być możliwe dodawanie własnych arkuszy stylów z poziomu JavaScript, to jednak okazuje się to nieprawdą.
Obecnie przedstawiciele eBaya twierdzą, że strona serwisu jest już wolna od tego problemu, jednak nie wiadomo czy na pewno tak jest. Jedno jest pewne, że programiści eBaya powinni zadbać o lepsze zabezpieczenia, gdyż sama forma ataku jest już znana od wielu lat.
Źródło: http://www.heise-online.pl/ |
