Блоги
Уязвимость на eBay позволяет добавлять вредоносный код на страницы лотов, и eBay не хочет ее закрывать

Уязвимость на eBay позволяет добавлять вредоносный код на страницы лотов, и eBay не хочет ее закрывать


1452535539869684

Компания Check Point Software обнаружила уязвимость на eBay, позволяющую хакерам добавлять произвольный JavaScript на страницы лотов.

По умолчанию произвольный JavaScript нельзя использовать на страницах eBay, но вследствие уязвимости, известной как JSFUCK, хакеры могут встраивать его в страницы, и он будет выполняться в браузерах при посещении лотов.

В примере показано, как пользователю, якобы от eBay, предлагается установить приложение предоставляющее 25% скидки при покупке лотов. На самом деле это вредоносная программа, установка которой возможна только благодаря не закрытой уязвимости.

Check Point Software сообщила eBay об обнаруженной уязвимости еще в декабре, однако владельцы торговой площадки решили не закрывать ее. По их словам, закрытие этой уязвимости запретило бы использование другого активного контента на страницах с лотами.

Поскольку активный контент применяется во вредоносных целях только в двух случаях на один миллион, было решено, что овчинка не стоит выделки.


Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: