日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
一大撥漏洞來襲eBay的黑色星期五

寫在前面:

訥河ssl適用于網(wǎng)站、小程序/APP、API接口等需要進行數(shù)據(jù)傳輸應(yīng)用場景,ssl證書未來市場廣闊!成為創(chuàng)新互聯(lián)的ssl證書銷售渠道,可以享受市場價格4-6折優(yōu)惠!如果有意向歡迎電話聯(lián)系或者加微信:028-86922220(備注:SSL證書合作)期待與您的合作!

eBay沒有保護好自己用戶的數(shù)據(jù),在之前他也犯過類似的錯誤,但是這次顯然eBay的安全團隊沒有吸取到前車之鑒。這次他們同樣要為自己對安全的消極態(tài)度買單。

正文:

在不到36小時之內(nèi),eBAY就再次報出了3個高危的,能夠?qū)е掠脩魯?shù)據(jù)泄露的漏洞。即使你在最后一次安全通告之后修改了密碼,你的賬號依舊存在風險。

5月22號,eBAY承認了海量數(shù)據(jù)的泄露,大約有14500萬來自世界各地用戶的賬戶信息遭到了泄漏。產(chǎn)生這個問題的原因是eBAY的基礎(chǔ)架構(gòu)存在漏洞。

5月23號的早晨一定是,eBAY安全工程師最頭疼的一個早上,因為他們要處理三個截然不同的

高危漏洞,這三個漏洞都會把14500萬的賬戶信息暴漏在風險之中。

HACKER UPLOADED SHELL ON eBAY SERVER

這是一個上傳漏洞,由Jordan Jones發(fā)現(xiàn)。這個漏洞可以導(dǎo)致員工賬號能上傳一個webshell。

Jordan在twitter上報告了這個漏洞,并且附帶了一個webshell的截圖作為POC。

現(xiàn)在這個文件的確是存在于eBAY的web服務(wù)器上,

https://dsl.ebay.com/wp-includes/Text/Diff/Engine/shell.php

只不過內(nèi)容被修改為空白。

在blog上Jordan也同時貼出了labs.ebay.com的一些跨站漏洞。

PERSISTENT XSS VULNERABILITY ON eBAY

Michael E 一個來自德國的安全研究員向Hacker News報告了他發(fā)現(xiàn)的一個,eBAY上的存儲型xss漏洞。

當用戶訪問攻擊者構(gòu)造的頁面時,惡意的js代碼就會執(zhí)行,劫持你的賬號。

下面是POC頁面。

http://www.ebay.de/itm/script-script-alert-1-script-x-onfocus-alert-1-autofocus-onl-/281257333177

COOKIE RE-USE VULNERABILITY

另外,eBay的登陸cookie可以被重復(fù)使用,即使用戶登出或者修改密碼。這個漏洞可以和上一個XSS漏洞配合使用。

ACCOUNT HIJACKING VULNERABILITY (CRITICAL AND UNPATCHED)

一個埃及安全研究者Yasser H. Ali,發(fā)現(xiàn)了一個可以造成用戶劫持的漏洞。不過遺憾的是,我們還不能公布細節(jié)。Yasser給我們了詳細的POC,我們也把這個漏洞報告給了eBay,在eBay將這個漏洞處理好之后我們才會放出相關(guān)細節(jié)。

eBAY #FAILURE

eBay沒有保護好自己用戶的數(shù)據(jù),在之前他也犯過類似的錯誤,但是這次顯然eBay的安全團隊沒有吸取到前車之鑒。這次他們同樣要為自己對安全的消極態(tài)度買單。


分享標題:一大撥漏洞來襲eBay的黑色星期五
本文鏈接:http://www.dlmjj.cn/article/dpcogsp.html