eBay-Betrüger nutzen neue Cross-Site-Scripting-Methode

Dieses Thema im Forum "Netzwelt" wurde erstellt von FlaXX, 9. März 2009 .

Schlagworte:
  1. 9. März 2009
    eBay-Betrügern ist es offenbar gelungen, eingestellte Warenbeschreibungen so zu manipulieren, dass sich beliebige Item-Nummern und die Mail-Adresse des Anbieters austauschen beziehungsweise überschreiben lassen. Damit ließen sich nicht nur Bieter in die Irre führen, auch eBays Maßnahmen zum Schutz vor betrügerischen Auktionen sollen sich so austricksen lassen.

    Dazu nutzten die Betrüger eine Cross-Site-Scripting-Attacke in Zusammenhang mit der XML Binding Language (XBL), durch die sich Elemente in einem HTML-Dokument mit Skripten, Style-Sheets und anderen Objekten in einem HTML-Dokument auf einer anderen Webseite verknüpfen lassen. Allerdings ist noch offen, wo der Fehler genau zu suchen ist.

    Zwar hat der Entwickler Cefn Hoile in der Fehlerdatenbank von Firefox eine Diskussion um eine Schwachstelle im Browser losgetreten, ohne die Möglichkeit, eigenen Code bei eBay einbinden zu können, würde der Angriff aber nicht funktionieren. So ist es möglich, Cascading-Style-Sheets (CSS) in eigenen Auktionen von anderen Webseiten nachzuladen, während sich JavaScript eigentlich nicht nachladen lassen sollte. Durch die Nutzung einer bestimmten Funktion soll das Nachladen und Ausführen verbotener Skripte aber dennoch möglich sein.

    eBay will das Problem mittlerweile auf seinen Seiten behoben haben. Die Firefox-Entwickler überlegen, einen Patch zu entwickeln, der das Problem eindämmen soll. Allerdings weisen sie darauf hin, dass der Angriff keine Lücke im Browser ausnutze und etwa die Same-Origin-Policy nicht verletze. Vielmehr sei die Gefahr des Einbettens der Inhalte anderer Seiten seit Jahren bekannt. Nach Meinung der Entwickler müsse eBay einfach die nachgeladenen Inhalte besser filtern respektive prüfen.

    Auch anderen Seiten, die das Einbetten von Code und Nachladen von CSS erlauben, sind von dem Problem betroffen. Zudem sollen auch die Internet-Explorer-Versionen 6 und 7 für derartige Angriffe anfällig sein.

    Quelle: eBay-Betrüger nutzen neue Cross-Site-Scripting-Methode | heise online
     
  2. 10. März 2009
    AW: eBay-Betrüger nutzen neue Cross-Site-Scripting-Methode

    hm hab schon von der Cross-Site-Scripting Methode in der Chip gelesen.
    ist echt übel wie schnell man an cookies kommen kann
    nur damit dat dingen ja funtzt muss der jenige ja so eine versuchte seite mit dem Cross-Site-Script offen haben damit es erst tut.

    hoffe das bald irgendwie so ne art fix für firefox rauskommt der solch einen script blockt.

    mfg BizzWare
     
  3. 10. März 2009
    AW: eBay-Betrüger nutzen neue Cross-Site-Scripting-Methode

    hoffe ich auch!
    ebay is wohl gern genutzt und schon krass was für lücken durch sowas enstehen
    wir hamm phishing usw z.Z. inner schule und wie leicht sowas ist ....

    einfach nur krass^^
     
  4. Video Script

    Videos zum Themenbereich

    * gefundene Videos auf YouTube, anhand der Überschrift.