Comment rester en sécurité du plus récent vulnérabilité de sécurité ebay

EBay a une réputation pour les pratiques de sécurité moins-que-stellaires, et il semble que ça ne va pas s`améliorer de sitôt. Une faille de sécurité récemment exposée met certains utilisateurs en danger, et eBay a décidé de publier seulement une solution partielle, au lieu d`un complet.

Voici ce que vous devez savoir sur la vulnérabilité, comment cela fonctionne, et comment rester en sécurité.

Contenu actif, XSS, et Escroqueries eBay

La vulnérabilité de sécurité en question est liée à « contenu actif », où les vendeurs peuvent intégrer dans leurs annonces. Le contenu actif peut utiliser une variété de technologies différentes pour faire une description plus intéressant ou utile - il pourrait être une petite application Flash, un menu javascript, un sondage Web, ou toute autre chose qui est intégré et interactif. Dans l`annonce illustrée ci-dessous, il est un script appelé « xsellgalleryscript » qui essaie de vous faire acheter d`autres articles du vendeur.

ebay-description-javascript

Dans la plupart des cas, le contenu actif est totalement sûr. Il est légèrement ennuyeux, mais en toute sécurité. Cependant, avec scripts inter-sites (XSS), un script qui est hébergé sur un autre site peut être chargé sur une page eBay, et ce script pourrait être quelque chose - il pourrait télécharger des logiciels malveillants, tenter de phish vos informations d`identification utilisateur, ou créer d`autres types de Mayhem. Bien sûr, parce que cette attaque est plutôt commune, eBay utilise des filtres qui tentent de l`empêcher.Qu`est-ce Cross-Site Scripting (XSS), & Pourquoi est-il une menace pour la sécuritéQu`est-ce Cross-Site Scripting (XSS), & Pourquoi est-il une menace pour la sécuritévulnérabilités de script intersites sont le plus gros problème de sécurité du site aujourd`hui. Des études ont montré qu`ils sont scandaleusement commun - 55% des sites web contenant des vulnérabilités XSS en 2011, selon le dernier rapport de White Hat Security, sorti en Juin ...Lire la suite

Malheureusement, quelqu`un a trouvé un chemin à travers. Il utilise une technique appelée JSF * ck, d`une manière fascinante d`écrire du code javascript en utilisant seulement six caractères: [] () +!. Avec deux crochets, deux parenthèses, un point d`exclamation, et un signe plus, vous pouvez créer et exécuter un code javascript.

jsfuck

Il est un exercice amusant, comme Brainf ** langage de programmation k. Mais il peut aussi être utilisé pour obtenir par les filtres d`eBay.10 langages de programmation Vous probablement jamais entendu parler10 langages de programmation Vous probablement jamais entendu parlerIl y a quelques langages de programmation très étranges et bizarres qui ont tourné la logique sur sa tête et ont toujours réussi à rester fidèle à la science de la communication avec un ordinateur. Vous allez...Lire la suite

Une entreprise de sécurité cybernétique appelé Check Point a signalé cette vulnérabilité, et a déclaré qu`il pourrait être utilisé sur le site de bureau ou par l`iOS ou les applications Android pour télécharger des logiciels malveillants ou rediriger les utilisateurs vers des pages de phishing où ils peuvent donner par inadvertance des informations d`identification de l`utilisateur. Voici une vidéo d`une attaque en action:

Check Point a démontré et a signalé cette vulnérabilité à eBay en Décembre 2015, attendant qu`ils mettraient à jour leur logiciel pour empêcher l`exploit. Selon la BBC, eBay dit Check Point en Janvier qu`ils avaient pas l`intention de corriger la vulnérabilité, mais ils ont mis en œuvre une solution partielle en Février. Pourquoi juste une solution partielle? "[JE]t est important de comprendre que le contenu malveillant sur notre marché est extrêmement rare « , eBay a déclaré à la BBC.

Malgré l`insistance de eBay que le risque de ce type d`attaque est extrêmement faible, la firme de sécurité Netcraft a indiqué qu`il était activement utilisé pour phish adresses e-mail des acheteurs potentiels et les encourager à effectuer le paiement via un service d`entiercement faux. Et l`arnaque a travaillé - Netcraft a partagé des captures d`écran d`une pétition d`utilisateur bouleversé l`aide après avoir été informé par eBay, la police, et sa banque qu`ils ne pouvaient pas l`aider.Quel est exactement le phishing & Quelles sont les techniques Arnaques à l`aide?Quel est exactement le phishing & Quelles sont les techniques Arnaques à l`aide?Je ne l`ai jamais été un fan de pêche, moi-même. Cela est principalement en raison d`une expédition tôt où mon cousin a réussi à attraper deux poissons alors que je pris zip. Semblable à la pêche de la vie réelle, les escroqueries par phishing ne sont pas ...Lire la suite

Comment se protéger de la vulnérabilité XSS sur eBay

Tant que eBay n`a pas tout à fait résoudre ce problème, il y a une chance que vous pourriez courir dans une liste qui a compromis un escroc et vous mettre en danger. Il y a quelques choses que vous pouvez faire pour réduire votre risque d`être pris, cependant.

La première chose que vous devez faire est de vous assurer que vous utilisez une capacité click-to-play dans votre navigateur. Chrome a cette capacité intégrée, Firefox a l`extension NoScript populaire, et les utilisateurs de Safari peut installer JS Blocker 5. Cela permettra d`éviter les scripts de chargement, à moins que vous leur donnez spécifiquement la permission. Vous ne devriez pas avoir besoin de les charger sur eBay, mais si vous le faites, vous pouvez les activer en un seul clic.

Muo-sécurité-js-bloqueur

Si vous activez les plugins, vous devez être très vigilant pour vous assurer que vous n`êtes pas être mis à profit. Chaque fois que vous êtes sur le point de cliquer sur un Achetez-le maintenant, Faire une offre, ou Offre lien sur eBay, assurez-vous que l`URL dans votre navigateur est ebay.com, et pas autre chose. Si vous être victime de phishing, le domaine sera autre chose que ebay.com.

Si vous utilisez une application mobile eBay, assurez-vous de bien vérifier l`URL d`une page liée, surtout si elle est pour vous demander des informations de connexion eBay. Et ne pas télécharger d`autres applications! L`application eBay vous n`encourager à télécharger autre chose. Comme Brian Krebs, l`un des meilleurs blogueurs de sécurité là-bas, dit dans ses 3 règles de base pour la sécurité en ligne, si vous n`êtes pas allé chercher, ne l`installez pas!

ebay-url-check-rouge

Au-delà, c`est du niveau de sécurité du marché en ligne. Seulement communiquer sur le site Web, et non par courrier électronique, peu importe quoi. Ne pas cliquer sur des liens dans des e-mails d`eBay, allez à ebay.com dans le cas où le message est venu d`un escroc. Vérifiez voir si des liens sur le site sont en sécurité avant de les utiliser. Utiliser un mot de passe fort, et changer régulièrement. Tous les réguliers « vous garder en sécurité » des conseils que nous partageons tout le temps ici appliquent aussi.8 façons de rendre sûr un lien est sûr avant de cliquer dessus8 façons de rendre sûr un lien est sûr avant de cliquer dessusLes liens hypertextes comme nous le savons tous sont les fils qui composent le web. Mais tout comme les araignées, le piège peut web numérique sans méfiance. Même les plus avertis d`entre nous cliquez sur les liens qui ...Lire la suite

Ne vous faites pas attraper par cette eBay XSS Scam

Protégez-vous de les escroqueries sur eBay nécessite un peu de vigilance et un peu de prévention proactive. Entre l`aide d`un navigateur de script de blocage ou d`extension, guettant les URL suspectes, et en veillant à surveiller pour les téléchargements étranges ou des demandes, vous devriez être tout à fait bien, même si eBay ne permet pas de résoudre cette vulnérabilité (qui ils seront probablement pas, au moins pour un moment). Alors, prenez quelques étapes rapides, et revenir à économiser des tonnes d`argent en faisant des achats sur eBay!5 Escroqueries eBay à prendre en compte5 Escroqueries eBay à prendre en compteÊtre victime d`une arnaque suce, en particulier sur eBay. Vous investissez tout ce temps dans la vente d`un produit ou vous passez beaucoup de temps à la recherche du produit parfait, compléter la transaction, puis ... rien. Le...Lire la suite

Avez-vous des achats sur eBay? Est-ce que leur dossier de non-action sur les failles de sécurité vous inquiète? Êtes-vous moins susceptibles de magasiner là-bas parce qu`ils ne réagissent pas bien à la déclaration de ce bogue particulier? Partagez votre opinion ci-dessous!

Articles connexes