 Na eBayu uda�o si� zmodyfikowa� opisy towar�w w taki spos�b, �e istnieje mo�liwo�� zamiany lub nadpisania dowolnych numer�w produkt�w i adresu e-mail oferenta. Pozwala to na dokonywanie oszustw oraz pokazuje, �e mo�na obej�� zabezpieczenia eBaya.
W ataku pos�u�ono si� metod� Cross-Site Scripting po��czonej z j�zykiem XBL. Pozwoli�o to na wi�zanie element�w dokumentu HTML ze skryptami, arkuszami CSS i kodem HTML umieszczonymi na innej stronie WWW. Nie wiadomo na razie, gdzie tkwi b��d, lecz wiadomo, �e wymaga to w��czenie do zasob�w eBaya w�asnego kodu. Mimo, �e nie powinno by� mo�liwe dodawanie w�asnych arkuszy styl�w z poziomu JavaScript, to jednak okazuje si� to nieprawd�.
Obecnie przedstawiciele eBaya twierdz�, �e strona serwisu jest ju� wolna od tego problemu, jednak nie wiadomo czy na pewno tak jest. Jedno jest pewne, �e programi�ci eBaya powinni zadba� o lepsze zabezpieczenia, gdy� sama forma ataku jest ju� znana od wielu lat.
�r�d�o: http://www.heise-online.pl/ |
