对卖家来说eBay的交易足够安全吗?

对卖家来说eBay的交易足够安全吗?

黑客专题访客2021-10-12 5:04:004302A+A-

  罪犯利用eBay的安全弱点,可能导致消费者重定向到一个恶意网页,并且试图窃取消费者的银行账户信息。

  英国广播公司(BBC)首次报道了诈骗,他们已经鉴定了超过100多个的上架物品使得ebay消费者访问一个需要用户名和密码的貌似官网的页面。

  Ebay在其网站上已经列出7亿多物品,所以恶意的上架物品比例很小。但是研究人员说这足以构成威胁,告诫用户应该小心浏览的网站,以防被重定向

  Ebay承认,网站易受到所谓的跨站点脚本攻击,一种最常见的网站攻击。

  Ebay的发言人Ryan Moore在电子邮件中说道:"由个人恶意实施跨站点脚本是影响网站在互联网上的一个问题,这不再是一个新的漏洞在Ebay等网站上。 "

  XSS是通过用户的字段类信息注入恶意代码到网页的一种方法。攻击者使用技术开发Javascript和flash ebay 让卖家写一些能够吸引更多买家的东西在他们的商店内。

  Moore 还说,罪犯在跨站点脚本和钓鱼活动背后调整他们的代码,试图保持领先的最安全的系统,但是跨站点的脚本在Ebay上是不允许的,我们将有一套安全设计来监测和清除包含在内的恶意代码。

  BBC在周一报道,自2月以来XSS在这个站点上就有问题。网站安全专家特洛伊·亨特说,因为Ebay给卖家设计自由在平衡安全方面,在站点和在线市场上XSS的攻击风险将更大,并且没有这种权衡交易。他还说,ebay现在一个棘手问题是,他们想给顾客设计自由,但是这种自由会导致页面的修改,那么同时也就为恶意侵害XSS开通了一条道路。

  F-Secure的高级调查员Timo说ebay需要一个不同的方式让卖家定制他们的商店。

  为了减少XSS有效性攻击,他还建议使用白名单方式接近Javascript,所以只允许预先操作。目前,ebay可以使用类似黑名单方式阻止使用某些技术。

  Timo还说这种模型存在根本性的缺陷,ebay试图否认人们会找到一种做这些事的方法。另外一个选择是ebay可以为卖家提高javascript代码,尽管可能减少定制水平,但是将会更加安全。

 

点击这里复制本文地址 以上内容由黑资讯整理呈现,请务必在转载分享时注明本文地址!如对内容有疑问,请联系我们,谢谢!
  • 2条评论
  • 竹祭绮烟2022-05-30 12:03:58
  •   罪犯利用eBay的安全弱点,可能导致消费者重定向到一个恶意网页,并且试图窃取消费者的银行账户信息。  英国广播公司(BBC)首次报道了诈骗,他们已经鉴定了超过100多个的上架物品使得eba
  • 性许粢醍2022-05-30 17:50:14
  • 的脚本在Ebay上是不允许的,我们将有一套安全设计来监测和清除包含在内的恶意代码。  BBC在周一报道,自2月以来XSS在这个站点上就有问题。网站安全专家特洛伊·亨特说,因为Ebay给卖家设计自由在平衡安全方面,在站点和在线市场上XSS的攻击风险将更大,并且没有这种权衡交易。他还说,ebay现在一

支持Ctrl+Enter提交

黑资讯 © All Rights Reserved.  
Copyright Copyright 2015-2020 黑资讯
滇ICP备19002590号-1
Powered by 黑客资讯 Themes by 如有不合适之处联系我们
网站地图| 发展历程| 留言建议| 网站管理