آسیب‌پذیری eBay کاربران را در معرض سرقت اطلاعات قرار می‌دهد

محققان اخطار دادند که برخی از بازدیدکنندگان وب‌گاه eBay.com به گونه‌ای فریب می‌خورند تا صفحه‌ای را درون وب‌گاه باز کنند و بدین ترتیب در معرض حملات و سرقت اطلاعات قرار می‌گیرند.
بر اساس گفته‌‌ی یک محقق چک‌پوینت یا نقطه‌ی بازرسی به نام رمان زایکین، این آسیب‌پذیری در سکوی حراج برخط وب‌گاه قرار دارد. شرکت در روز سه‌شنبه اخطار داد که نفوذگر با این آسیب‌پذیری می‌تواند کد وب‌گاه را دور زده و جاوااسکریپت مخربی را روی کاربران با استفاده جست‌وجوگرشان یا برنامه‌ی تلفن همراهشان اجرا کند.
این بازرسی در تاریخ ۱۵ دسامبر سال ۲۰۱۵ موضوع را به اطلاع وب‌گاه eBay رساند اما طی دو هفته بعد که موضوع به شرکت eBay ارجاع داده شد، شرکت ادعا کرد که هیچ برنامه‌ای برای حل این مشکل ندارد.
این شرکت گفت: «همان‌طور که در نمونه‌ی اثبات مفهوم به تیم امنیتی eBay نشان دادیم، ما می‌توانیم سیاست‌های امنیتی آن‌ها را دور زده و کد مخربی را بدون هیچ‌گونه مشکلی یا مانعی درون صفحه‌ی خریدمان قرار دهیم.»
هنگامی که به روز سه‌شنبه رسیدیم eBay متوجه شد که هیچ نفوذگری این آسیب‌پذیری‌ها را پخش نکرده است.
سخن‌گوی این شرکت گفت: «eBay متعهد است که بازاری امن برای میلیون‌ها مشتری‌مان در سرتاسر جهان فراهم کند. ما مسائل امنیتی گزارش شده را خیلی جدی پیگیری می‌کنیم و خیلی سریع آن‌ها را از طریق زیرساخت امنیتی کلی که داریم بررسی می‌کنیم. ما رد هیچ‌گونه کلاه‌برداری را در این حادثه ندیدیم.»
زایکان ادعا کرد که نفوذگر از JSF**K استفاده کرده است که یک شیوه‌ی برنامه‌نویسی غیراستاندارد در دستورالعملشان برای کشف رمز می‌باشد. در حالی که eBay کاربرانش را از استفاده از مواردی مثل اسناد و iFrames در دستورالعمل‌هایشان منع می‌کند، معمولاً برچسب‌های HTML را فیلتر می‌کند، و اجازه‌ی استفاده از کد JSF**K را می‌دهد.
تماس‌های زبانی چند سال پیش یک شیوه‌ی برنامه‌نویسی «آموزشی و محرمانه» را بر اساس بخش‌های اتمی جاوااسکریپت اختراع کرد.
چون JSF**K از شش نویسه‌ی مختلف یعنی []()!+ استفاده می‌کند و eBay تنها از نویسه‌های عددی، آلفا از درون برچسب‌ها را به کار می‌برد، بنابراین نفوذگرها می‌توانند محافظت‌های صورت گرفته توسط شرکت را دور بزنند.
«نقطه‌ی بازرسی با افزودن این‌که یک می‌تواند از آن برای فریب یک قربانی استفاده کند تا وی را به بارگیری یک برنامه‌ی کاربردی مخرب یا استفاده از این آسیب‌پذیری برای انجام حملات به سرقت بردن اطلاعات، وادار کند، گفت: «این به نفوذگر اجازه می‌دهد تا جاوااسکریپتی را جای‌گذاری کند که از راه دور قابل کنترل باشد به طوری که وی می‌تواند برای مثال بارگذاری‌های متعددی را برای یک عامل کاربری متفاوت ایجاد کند.»

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.