Блоги

Уязвимость на eBay позволяет добавлять вредоносный код на страницы лотов, и eBay не хочет ее закрывать

1452535539869684

Компания Check Point Software обнаружила уязвимость на eBay, позволяющую хакерам добавлять произвольный JavaScript на страницы лотов.

По умолчанию произвольный JavaScript нельзя использовать на страницах eBay, но вследствие уязвимости, известной как JSFUCK, хакеры могут встраивать его в страницы, и он будет выполняться в браузерах при посещении лотов.

Курс
Розробка на Python
Опануйте популярну мову програмування, щоб заробляти від $1300 через рік
РЕЄСТРУЙТЕСЯ!
Розробка на Python

В примере показано, как пользователю, якобы от eBay, предлагается установить приложение предоставляющее 25% скидки при покупке лотов. На самом деле это вредоносная программа, установка которой возможна только благодаря не закрытой уязвимости.

Check Point Software сообщила eBay об обнаруженной уязвимости еще в декабре, однако владельцы торговой площадки решили не закрывать ее. По их словам, закрытие этой уязвимости запретило бы использование другого активного контента на страницах с лотами.

Поскольку активный контент применяется во вредоносных целях только в двух случаях на один миллион, было решено, что овчинка не стоит выделки.


Завантаження коментарів...

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: