Hur man är säker från eBays senaste säkerhetsproblem

EBay har ett rykte för mindre än stellar säkerhetspraxis, och det ser ut som om det inte blir bättre när som helst snart. Ett nyligen utsatt säkerhetsproblem innebär att vissa användare är i fara, och eBay har beslutat att utfärda endast en partiell åtgärd i stället för en komplett.

Här är vad du behöver veta om sårbarheten, hur det fungerar och hur du är säker.

Active Content, XSS och eBay Scams

Den specifika säkerhetssäkerheten i fråga är knuten till “aktivt innehåll,” vilka säljare kan bädda in i sina annonser. Aktivt innehåll kan använda en mängd olika tekniker för att göra en artikelbeskrivning mer intressant eller användbar - det kan vara en liten Flash-app, en JavaScript-meny, en webbundersökning eller något annat som är inbäddat och interaktivt. I annonsen som visas nedan är det ett skript som heter “xsellgalleryscript” som försöker få dig att köpa andra objekt från säljaren.

I de flesta fall är aktivt innehåll helt säkert. Det är mildt irriterande, men säkert. Men med cross-site scripting (XSS) Vad är cross-site scripting (XSS), och varför det är en säkerhetsrisk? Vad är cross-site scripting (XSS), och varför det är en säkerhetsrisk? webbplats säkerhetsproblem idag. Studier har funnit att de är chockerande vanliga - 55% av webbplatserna innehöll XSS sårbarheter under 2011, enligt White Hat Securitys senaste rapport, släpptes i juni ... Läs mer, ett manus som finns på en annan webbplats kan laddas på en eBay-sida, och det skriptet kan vara någonting - det kan ladda ner skadlig kod, försök att phish dina användaruppgifter, eller skapa andra typer av förödelse. Naturligtvis, eftersom denna attack är en ganska vanlig, använder eBay filter som försöker förhindra det.

Tyvärr hittade någon en väg igenom. Det använder en teknik som heter JSF * ck, ett fascinerande sätt att skriva JavaScript-kod med endast sex tecken: [] ()! +. Med två parenteser, två parenteser, ett utropstecken och ett plustecken kan du skapa och köra någon JavaScript-kod.

Det är en rolig övning som Brainf ** k programmeringsspråk 10 Programmeringsspråk Du hörs nog aldrig av 10 programmeringsspråk som du nog aldrig hört av. Det finns några väldigt märkliga och bisarra programmeringsspråk som har vänt logik på huvudet och har lyckats vara sant mot vetenskapen om kommunikation med en dator. Du kommer att ... Läs mer. Men det kan också användas för att få tag på eBays filter.

Ett säkerhetsföretag som heter Check Point rapporterade för första gången denna sårbarhet och uppgav att den skulle kunna användas på skrivbordssidan eller via iOS- eller Android-apparen för att ladda ner skadlig kod eller omdirigera användare till phishing-sidor där de oavsiktligt kan ge bort användaruppgifter. Här är en video av en attack i åtgärd:

Check Point visade och rapporterade denna sårbarhet mot eBay i december 2015 och förväntade sig att de skulle uppdatera sin programvara för att förhindra exploatering. Enligt BBC meddelade eBay Check Point i januari att de inte hade några planer på att fixa sårbarheten, men att de genomförde en partiell fix i februari. Varför bara en partiell fix? “[I] t är viktigt att förstå att skadligt innehåll på vår marknadsplats är ovanligt ovanligt,” eBay berättade för BBC.

Trots eBays insisterande på att risken för denna typ av attack är extremt låg rapporterade säkerhetsföretaget Netcraft att det aktivt användes för att phish potentiella köpare e-postadresser. Vad exakt är phishing och vilka tekniker använder scammers? Vad exakt är phishing och vilka tekniker använder scammers? Jag har aldrig varit ett fan av fiske själv. Detta beror främst på en tidig expedition där min kusin lyckades fånga två fiskar medan jag fick blixtlås. På samma sätt som i realtidsfiske, är phishing-bedrägerier inte ... Läs mer och uppmuntra dem att slutföra betalningen via en falsk escrow-tjänst. Och scam fungerade - Netcraft har delat skärmdumpar av en upprörd användares framställan om hjälp efter att ha blivit tillsagd av eBay, polisen och hans bank att de inte kunde hjälpa honom.

Hur skyddar du dig från XSS-säkerhetsproblemet på eBay

Så länge som eBay inte helt åtgärdar detta problem finns det risk att du kan komma in i en lista som en bedragare har äventyrat och sätter dig i fara. Det finns dock några saker du kan göra för att minska risken för att bli uttagen.

Det första du bör göra är att du använder en klick-till-spel-förmåga i din webbläsare. Chrome har denna förmåga inbyggd, Firefox har den populära NoScript-förlängningen och Safari-användare kan installera JS Blocker 5. Detta förhindrar att skript laddas, om du inte specifikt ger dem tillstånd. Du behöver inte ladda dem på eBay, men om du gör det kan du aktivera dem med ett enda klick.

Om du aktiverar plugins måste du vara extra vaksam för att se till att du inte utnyttjas. När du ska klicka på en Köp det nu, Gör erbjudande, eller Bud länk på eBay, se till att webbadressen i din webbläsare är ebay.com, och inte något annat. Om du blir phished kommer domänen vara något annat än ebay.com.

Om du använder en mobilapp för eBay, se till att du dubbelklickar på webbadressen för en länkad sida, speciellt om det frågar dig om inloggningsinformation för eBay. Och ladda inte några andra appar! EBay-appen uppmuntrar dig inte att ladda ner något annat. Som Brian Krebs, en av de bästa säkerhetsbloggarna där ute, säger i sina 3 grundläggande regler för online-säkerhet, om du inte letade efter den, installera den inte!

Utöver detta är det standard på nätet säkerhetsmarknadsplats. Bara kommunicera via webbplatsen, och inte via e-post, oavsett vad. Klicka inte på länkar i e-post från eBay, gå till ebay.com om e-postmeddelandet kom från en scammer. Kontrollera om länkar på webbplatsen är säkra 8 sätt att se till att en länk är säker innan du klickar på det 8 sätt att se till att en länk är säker innan du klickar på hyperlänkar som vi alla vet är de trådar som utgör webben. Men precis som spindlarna kan den digitala banan fånga den intet ont anande. Även de mer kunniga bland oss ​​klickar på länkar som ... Läs mer innan du använder dem. Använd ett starkt lösenord Hur du genererar starka lösenord som matchar din personlighet Hur man skapar starka lösenord som matchar din personlighet Utan ett starkt lösenord kan du snabbt hitta dig själv när du mottar en cyberbrott. Ett sätt att skapa ett minnesvärt lösenord kan vara att matcha det med din personlighet. Läs mer och ändra det regelbundet. Alla de vanliga “håll dig säker” Tips som vi delar hela tiden gäller här också.

Fånga inte av denna eBay Scripting Scam

Skydda dig mot bedrägerier på eBay 10 eBay Scams att vara medveten om 10 eBay Scams att vara medvetna om att vara bluff suger, särskilt på eBay. Du investerar så mycket tid i att sälja en produkt eller undersöka det perfekta objektet, slutföra transaktionen och sedan ... ingenting. Vet du när du blir lurad? Läs mer kräver lite vaksamhet och lite proaktivt förebyggande. Mellan att använda en skriptblåsande webbläsare eller tillägg, titta på misstänkta webbadresser och se till att se upp för konstiga nedladdningar eller förfrågningar, borde du vara helt bra, även om eBay inte åtgärdar det här sårbarheten (vilket de troligtvis inte kommer att göra, åtminstone för en stund). Så ta ett par snabba steg och kom tillbaka för att spara massor av pengar genom att handla på eBay. 10 Tips för att handla på eBay Som en chef 10 tips för att handla på eBay Som en chef. Dessa 10 eBay tips hjälper dig att optimera din sökning och budgivning till spara dig mycket pengar på de föremål du letar efter. Läs mer !

Handlar du på eBay? Håller deras rekord av bristande säkerhetsrisker oroa dig? Är du mindre benägna att handla där eftersom de inte har svarat bra på rapporteringen av den här typen av fel? Dela dina tankar nedan!

Bildkrediter: hacker av Photosani via Shutterstock

Utforska mer om: eBay, bluffar.