Web-Sicherheit

August 10, 2011

Schwerwiegende Sicherheitslücke bei eBay

Filed under: Allgemein — sebastiankuebeck @ 11:29
Tags: , , , , ,

Account-Diebstahl durch schwerwiegende Sicherheitslücke bei eBay:

Durch eine schwere Sicherheitslücke bei eBay konnten Angreifer Cookies anderer Nutzer stehlen und somit die Kontrolle über fremde Accounts übernehmen. Auf einer Unterseite des Onlineauktionshauses wurde ein URL-Parameter nicht ausreichend überprüft und als Teil der Webseite wiedergegeben. Dadurch war Cross-Site Scripting (XSS) möglich. Angreifer konnten eBay.de-Links generieren, bei deren Aufruf beliebiger JavaScript-Code im Kontext der eBay-Domain ausgeführt wurde. Auf diese Weise war es möglich, das Cookie auszulesen und an einen fremden Server zu übermitteln.

Offenbar hatte eBay die Warnungen eines Sicherheitsexperten ignoriert, bis der sich an Heise Security wandte. Dann  reagierte eBay und nahm die betroffene Seite vom Netz.

Auf der US-Seite von eBay gibt es die Möglichkeit, Sicherheitslücken zu melden. Hinweise auf Sicherheitsprobleme nimmt eBay in englischer Sprache unter securitydisclosure(at)ebay.com entgegen.

Schreibe einen Kommentar »

Es gibt noch keine Kommentare.

RSS feed for comments on this post. TrackBack URI

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s

Bloggen auf WordPress.com.

%d Bloggern gefällt das: