Cum să rămâi în siguranță de la cea mai nouă vulnerabilitate de securitate a eBay
EBay are o reputație pentru practici de securitate mai puțin decât stelare și se pare că nu va fi mai bine în curând. O vulnerabilitate de securitate expusă recent pune unii utilizatori în pericol, iar eBay a decis să emită doar o remediere parțială, în loc să o completeze.
Iată ce trebuie să știți despre vulnerabilitate, cum funcționează și cum să rămână în siguranță.
Conținut activ, escrose XSS și eBay
Vulnerabilitatea particulară de securitate în cauză este legată “conținut activ,” pe care vânzătorii le pot încorpora în anunțurile lor. Conținutul activ poate utiliza o varietate de tehnologii diferite pentru a face o descriere a elementelor mai interesantă sau utilă - ar putea fi o aplicație Flash mică, un meniu JavaScript, un sondaj de opinie sau orice altceva care este încorporat și interactiv. În anunțul imaginat mai jos, este un script numit “xsellgalleryscript” care încearcă să te facă să cumperi alte articole de la vânzător.
În majoritatea cazurilor, conținutul activ este absolut sigur. E ușor enervant, dar sigur. Cu toate acestea, cu scripting pe site-uri (XSS) Ce este cross-site scripting (XSS) și de ce este o amenințare la adresa securității Ce este Scripting între site-uri (XSS) și de ce este o amenințare la adresa securității problema de securitate a site-ului astăzi. Studiile au descoperit că sunt șocant comune - 55% dintre site-uri conțin vulnerabilități XSS în 2011, potrivit celui mai recent raport al White Hat Security, lansat în iunie ... Read More, un script care este găzduit pe un alt site poate fi încărcat pe o pagină eBay; scriptul ar putea fi orice - s-ar putea să descarce programe malware, să încerce să scaneze acreditările utilizatorului sau să creeze alte tipuri de haos. Desigur, deoarece acest atac este unul destul de comun, eBay folosește filtrele care încearcă să o împiedice.
Din păcate, cineva a găsit o cale. Utilizează o tehnică numită JSF * ck, un mod fascinant de a scrie cod JavaScript folosind doar șase caractere: [] ()! +. Cu două paranteze, două paranteze, un semn de exclamare și un semn plus, puteți crea și rula orice cod JavaScript.
Este un exercițiu distractiv, cum ar fi limbajul de programare Brainf ** k 10 Limbi de programare Probabil că niciodată nu ați auzit de cele 10 limbi de programare pe care probabil nu le-ați auzit. Există câteva limbi de programare foarte ciudate și bizare, care s-au transformat logic pe cap și au reușit stați la curent cu știința comunicării cu un calculator. Veți ... Citește mai mult. Dar poate fi folosit si pentru a obtine prin filtrele eBay.
O firmă de securitate informatică, numită Check Point, a raportat pentru prima dată această vulnerabilitate și a afirmat că ar putea fi utilizată pe site-ul desktop sau prin aplicațiile iOS sau Android pentru a descărca programe malware sau pentru a redirecționa utilizatorii către pagini de phishing în cazul în care pot da neapărat acreditări de utilizator. Iată un videoclip despre un atac în acțiune:
Check Point a demonstrat și a raportat această vulnerabilitate la eBay în decembrie 2015, așteptând ca aceștia să își actualizeze software-ul pentru a preveni exploatarea. Potrivit BBC, eBay ia spus lui Check Point, în ianuarie, că nu intenționează să repare vulnerabilitatea, dar că au implementat o remediere parțială în februarie. De ce doar o reparație parțială? “Nu este important să înțelegeți faptul că conținutul rău intenționat de pe piața noastră este extraordinar de neobișnuit,” eBay a declarat BBC.
În ciuda insistenței lui eBay, că riscul acestui tip de atac este extrem de scăzut, compania de securitate Netcraft a raportat că a fost folosită în mod activ pentru a elimina adresele de e-mail ale potențialilor cumpărători. Ce este exact phishingul și ce tehnici folosesc escrocii? Ce este exact phishingul și ce tehnici folosesc escrocii? Niciodată nu am fost fan al pescuitului. Acest lucru se datorează în mare parte unei expediții timpurii în care vărul meu a reușit să prindă doi pești în timp ce am prins zip. Similar cu pescuitul din viața reală, înșelătoriile de phishing nu sunt ... Citește mai mult și încurajează-i să completeze plata prin intermediul unui serviciu de escrow fals. Iar înșelătoria a funcționat - Netcraft a împărtășit capturi de ecran ale unei petiții a unui utilizator supărat pentru ajutor după ce a fost spus de eBay, poliție și banca sa că nu l-au putut ajuta.
Cum să vă protejați de vulnerabilitatea XSS pe eBay
Atâta timp cât eBay nu rezolvă în totalitate această problemă, există o șansă să vă întâlniți într-o listă pe care un escroc a compromis și vă pune în pericol. Există însă câteva lucruri pe care le puteți face pentru a scădea riscul de a fi prins.
Primul lucru pe care ar trebui să-l faceți este să vă asigurați că utilizați o funcție de clic-pentru-redare în browserul dvs. Chrome are această capacitate încorporată, Firefox are extensia populară NoScript, iar utilizatorii Safari pot instala JS Blocker 5. Acest lucru va împiedica încărcarea oricărui script dacă nu îi dați în mod explicit permisiunea. Nu ar trebui să le încărcați pe eBay, dar dacă o faceți, le puteți activa cu un singur clic.
Dacă activați pluginurile, va trebui să fiți vigilenți în plus pentru a vă asigura că nu sunteți profită de acestea. Ori de câte ori urmează să faceți clic pe a Cumpara asta acum, A face o ofertă, sau ofertă link pe eBay, asigurați-vă că adresa URL din browserul dvs. este ebay.com, și nu altceva. Dacă sunteți înșelat, domeniul va fi altceva decât ebay.com.
Dacă utilizați o aplicație mobilă eBay, asigurați-vă că faceți dublu controlul adresei URL a oricărei pagini conectate, mai ales dacă vă solicită informații de conectare la eBay. Și nu descărcați alte aplicații! Aplicația eBay nu vă va încuraja să descărcați altceva. Deoarece Brian Krebs, unul dintre cei mai buni bloggeri de securitate de acolo, spune în cele 3 Reguli de bază pentru siguranța online, dacă nu ați căutat-o, nu îl instalați!
Dincolo de aceasta, este standardul standard al siguranței pieței online. Comunicați numai prin intermediul site-ului, și nu prin e-mail, indiferent de ce. Nu faceți clic pe linkurile din e-mailurile de pe eBay, mergeți la ebay.com în cazul în care e-mailul a venit de la un escroc. Verificați dacă linkurile de pe site sunt sigure 8 Modalități de a vă asigura că o legătură este sigură înainte de ao face să faceți clic pe 8 moduri de a vă asigura că o legătură este sigură înainte de a o faceți clic pe Hyperlink-uri, după cum știm cu toții, sunt componentele care alcătuiesc web-ul. Dar, la fel ca păianjenii, internetul digital poate prinde pe cei care nu se întreabă. Chiar și cei mai informați dintre noi faceți clic pe link-urile care ... Citește mai mult înainte de a le folosi. Utilizați o parolă puternică Cum să generați parole puternice care să se potrivească personalității dvs. Cum să generați parole puternice care să vă potrivească personalității Fără o parolă puternică, ați putea să vă găsiți repede la sfârșitul unei crime cibernetice. O modalitate de a crea o parolă memorabilă ar putea fi potrivirea acesteia cu personalitatea dvs. Citiți mai multe și schimbați-l în mod regulat. Toți cei obișnuiți “păstrați-vă în siguranță” sfaturi pe care le împărtășim tot timpul se aplică și aici.
Nu te prinde de această eBay Cross-Site Scripting înșelătorie
Protejați-vă de înșelătorii pe eBay 10 eBay înșelătoriilor pentru a fi conștienți de 10 eBay înșelătorii pentru a fi conștienți de a fi scammed sucks, mai ales pe eBay. Investiți atât de mult timp în vânzarea unui produs sau cercetarea elementului perfect, finalizarea tranzacției și apoi ... nimic. Știți când sunteți înșelat? Citiți mai mult necesită un pic de vigilență și o mică prevenire proactivă. Între utilizarea unui browser sau a unei extensii de blocare a script-urilor, urmărirea adreselor URL suspecte și asigurarea unei atenții speciale pentru descărcări sau solicitări ciudate, ar trebui să fiți în regulă, chiar dacă eBay nu remediază această vulnerabilitate (pe care, probabil, Cel puțin pentru o vreme). Deci, luați-i pe câțiva pași rapizi și reveniți la economisirea de tone de bani prin cumpărături pe eBay 10 Sfaturi pentru a cumpăra pe eBay ca un șef 10 Sfaturi pentru a cumpăra pe eBay ca un sef Aceste 10 sfaturi eBay vă va ajuta să vă optimizați căutarea și licitarea economisiți o mulțime de bani pe elementele pe care le căutați. Citeste mai mult !
Cumperi pe eBay? Înregistrează înregistrarea lor de non-acțiune privind vulnerabilitățile de securitate vă îngrijorează? Sunteți mai puțin probabil să faceți cumpărături acolo, deoarece nu au răspuns bine la raportarea acestui bug particular? Împărtășește-ți gândurile de mai jos!
Credite de imagine: hacker de către Photosani prin Shutterstock
Explorați mai multe despre: eBay, escrocherii.