| 0 |
|
Причиной масштабной утечки данных клиентов eBay на прошлой неделе стали множественные уязвимости. После инцидента пользователи были уведомлены о необходимости сменить пароли, тем не менее, при регистрации ресурс продолжает принимать ненадежные пароли.
Британский студент Джордан Ли Джонс (Jordan Lee Jones) обнаружил критическую уязвимость на сайте eBay и опубликовал в своем Twitter скриншот, подтверждающий возможность успешно внедрить файл shell.php и получить полный контроль над C&C-сервером. Вскоре эта брешь была закрыта.
Как выяснилось, к концу прошлой недели Джордан Ли Джонс обнаружил еще одну серьезную уязвимость, о чем 23 мая проинформировал eBay. К сожалению, по состоянию на 27 мая она так и не была исправлена. Эта брешь позволяет провести XSS-атаку, внедрив сторонний код, исполняемый внутри веб-сайта, и может использоваться, например, для сбора куки-файлов вошедших в свои учетные записи пользователей eBay, а затем отправки информации на управляющий сервер. XSS-атаку можно провести и на страницу с перечнем аукционов, — любой, кто зайдет на данную страницу, рискует поделиться своими данными с хакерами. Возможности проведения атаки с использованием XSS-уязвимости студент продемонстрировал, отобразив всплывающее сообщение «1337» (на языке хакеров leet, сокращение от elite).
Де і як компаніям необхідно укріпити свій захист
| 0 |
|
