对卖家来说eBay的交易足够安全吗？

　　罪犯利用eBay的安全弱点，可能导致消费者重定向到一个恶意网页，并且试图窃取消费者的银行账户信息。

　　英国广播公司（BBC）首次报道了诈骗，他们已经鉴定了超过100多个的上架物品使得ebay消费者访问一个需要用户名和密码的貌似官网的页面。

　　Ebay在其网站上已经列出7亿多物品，所以恶意的上架物品比例很小。但是研究人员说这足以构成威胁，告诫用户应该小心浏览的网站，以防被重定向

　　Ebay承认，网站易受到所谓的跨站点脚本攻击，一种最常见的网站攻击。

　　Ebay的发言人Ryan Moore在电子邮件中说道："由个人恶意实施跨站点脚本是影响网站在互联网上的一个问题，这不再是一个新的漏洞在Ebay等网站上。 "

　　XSS是通过用户的字段类信息注入恶意代码到网页的一种方法。攻击者使用技术开发Javascript和flash ebay 让卖家写一些能够吸引更多买家的东西在他们的商店内。

　　Moore 还说，罪犯在跨站点脚本和钓鱼活动背后调整他们的代码，试图保持领先的最安全的系统，但是跨站点的脚本在Ebay上是不允许的，我们将有一套安全设计来监测和清除包含在内的恶意代码。

　　BBC在周一报道，自2月以来XSS在这个站点上就有问题。网站安全专家特洛伊·亨特说，因为Ebay给卖家设计自由在平衡安全方面，在站点和在线市场上XSS的攻击风险将更大，并且没有这种权衡交易。他还说，ebay现在一个棘手问题是，他们想给顾客设计自由，但是这种自由会导致页面的修改，那么同时也就为恶意侵害XSS开通了一条道路。

　　F-Secure的高级调查员Timo说ebay需要一个不同的方式让卖家定制他们的商店。

　　为了减少XSS有效性攻击，他还建议使用白名单方式接近Javascript，所以只允许预先操作。目前，ebay可以使用类似黑名单方式阻止使用某些技术。

　　Timo还说这种模型存在根本性的缺陷，ebay试图否认人们会找到一种做这些事的方法。另外一个选择是ebay可以为卖家提高javascript代码，尽管可能减少定制水平，但是将会更加安全。