近日�,在e-Bay網(wǎng)站出現(xiàn)的一個(gè)嚴(yán)重的漏洞,該漏洞為惡意黑客分子通過(guò)創(chuàng)建假的登錄界面的方式來(lái)盜取用戶密碼和電子票據(jù)等資料提供了可乘之機(jī)����。
12月初,一位獨(dú)立安全研究員發(fā)現(xiàn)了該漏洞�����,并在12月11號(hào)將該情況向e-Bay網(wǎng)站做了匯報(bào)�。在得到了首次答復(fù)之后,第二天該研究員想繼續(xù)跟進(jìn)���,獲得更多關(guān)于該漏洞的最新情況時(shí)���,e-Bay卻不再對(duì)研究員的電子郵件進(jìn)行回復(fù)�����。直到上周����,Motherboard聯(lián)系eBay詢問(wèn)情況時(shí)�,他們都還沒(méi)對(duì)該漏洞進(jìn)行修復(fù)。
“任何人都可以利用該漏洞入侵e-Bay網(wǎng)的個(gè)人用戶��,從而可以控制他們的賬戶����,同時(shí)通過(guò)給e-Bay上百萬(wàn)甚至上千萬(wàn)的用戶發(fā)送精心打造的釣魚(yú)電子郵件,來(lái)騙取電子票據(jù)�����,盜取數(shù)額巨大的用戶資金�。”該名叫做MLT的研究員說(shuō)道。
上周�����,MLT告訴了我這個(gè)漏洞的情況���。周一時(shí)候�����,他發(fā)表了一篇博文����,來(lái)具體闡述該漏洞的成因及其影響。在演示視頻中����,MLT用一個(gè)像e-Bay普通URL的釣魚(yú)鏈接���,來(lái)登錄e-Bay�����。通過(guò)釣魚(yú)鏈接制造的這個(gè)假登陸界面����,實(shí)際上還是由e-Bay系統(tǒng)在管理���,除了URL不同之外�,頁(yè)面看起來(lái)幾乎完全與真正的e-Bay用戶登錄界面相同。
當(dāng)我在MLT所做的釣魚(yú)網(wǎng)站上輸入自己的用戶名和密碼�,點(diǎn)擊登錄時(shí),網(wǎng)站會(huì)彈出一個(gè)頁(yè)面����,顯示登錄錯(cuò)誤。與此同時(shí)����,他盜取了我的用戶憑證。他正是利用了一個(gè)叫做cross-scripting的技術(shù)漏洞��,來(lái)制造了這個(gè)釣魚(yú)頁(yè)面�。(MLT同時(shí)指出在YouTube的視頻中也存在著漏洞)。
這是一種常見(jiàn)的網(wǎng)頁(yè)漏洞�����,即人們所熟知的XSS(跨站腳本攻擊:惡意攻擊者往Web頁(yè)面里插入惡意Script代碼��,當(dāng)用戶瀏覽該頁(yè)時(shí)�,嵌入其中Web里面的Script代碼會(huì)被執(zhí)行,從而達(dá)到惡意攻擊用戶的特殊目的�。)過(guò)去,很多網(wǎng)站都曾遭受到XSS攻擊�。這其中最著名的案列應(yīng)該就是Samy Kamkar的攻擊實(shí)例了����。Samy Kamkar��,一個(gè)在當(dāng)時(shí)只有十多歲的孩子�,利用社交網(wǎng)絡(luò)上存在的XSS漏洞,他制造了一種能夠自我復(fù)制的蠕蟲(chóng)病毒���,感染了超過(guò)100萬(wàn)的MySpace用戶���,使他們自動(dòng)成為他的好友。在這之后���,Kamkar被判入獄3年。以上就是這名傳奇黑客的事跡����。當(dāng)然,現(xiàn)在他已經(jīng)成為一名眾所周知的安全研究員了����。這一事件,將Kamkar永遠(yuǎn)地被釘在了法律的十字架上�,徹底地改變了互聯(lián)網(wǎng)的發(fā)展史����。從那時(shí)起��,所有網(wǎng)站不得不認(rèn)真對(duì)待XSS漏洞����。
去年,e-Bay公司就已經(jīng)發(fā)現(xiàn)了在自己的網(wǎng)站上存在著危險(xiǎn)的XSS漏洞����,并且也花了一年的時(shí)間來(lái)解決問(wèn)題。
“他們已經(jīng)沒(méi)有必要去找任何的借口����,來(lái)掩飾自己的關(guān)鍵領(lǐng)域正遭受XSS漏洞的威脅這一事實(shí)”MLT和我在一個(gè)加密軟件上聊天時(shí)說(shuō)道,“現(xiàn)在進(jìn)入2016年了�,我們已經(jīng)掌握了許多技術(shù)來(lái)預(yù)防XSS的攻擊。在過(guò)去�,許多網(wǎng)站都存在XSS漏洞。Facebook就是其中之一���。但現(xiàn)在黑客想要在Facebook找出一個(gè)XSS漏洞來(lái)進(jìn)行攻擊已經(jīng)變得極其困難���,因?yàn)镕acebook網(wǎng)站工程師們已經(jīng)找到正確的措施來(lái)維護(hù)網(wǎng)站的安全����。我所不能理解的是�,為什么e-Bay還在走過(guò)去的老路,沒(méi)對(duì)網(wǎng)站的維護(hù)做出任何的改進(jìn)�����。”
他補(bǔ)充說(shuō)道��,“他們不應(yīng)該允許任何人進(jìn)行鏈接重定向來(lái)定位到JavaScript�����。”
一位安全分析師指出��,該XSS漏洞確實(shí)存在�����,但MLT的這種做法就有點(diǎn)嘩眾取寵的意味了���。另一位安全專(zhuān)家,High-Tech Bridge公司的創(chuàng)始人及CEO,Ilia Kolochenko����,說(shuō)道,現(xiàn)在Web應(yīng)用程序仍然容易受到XSS漏洞威脅����,已經(jīng)不足為奇了。建立一個(gè)完整的網(wǎng)站體系�,列出存在隱患的網(wǎng)站,找到相應(yīng)措施對(duì)其進(jìn)行維護(hù)�,這才是我們所需要做的。
上周�����,e-Bay公司發(fā)言人�,Ryan Moore表示,公司將會(huì)致力于為世界各地?cái)?shù)百萬(wàn)的e-Bay用戶創(chuàng)造一個(gè)安全可靠的市場(chǎng)環(huán)境��,同時(shí)公司還會(huì)采取措施盡快修復(fù)該漏洞�����,確保用戶數(shù)據(jù)安全�����。Moore同時(shí)還對(duì)MLT的回應(yīng)事件作出了解釋?zhuān)f(shuō),這其中存在著誤會(huì)��,因?yàn)镸LT在最初報(bào)告漏洞情況時(shí)�����,使用了不同的電子郵件名�,讓我們誤以為是黑客所為。
周一時(shí)候����,MLT告知Motherboard公司,經(jīng)過(guò)他的測(cè)試證實(shí)�����,該bug已經(jīng)被修復(fù)�����。之后��,e-Bay發(fā)聲明說(shuō)��,該bug已經(jīng)修復(fù)���。同時(shí)�,還要表示對(duì)MLT和一些友好黑客關(guān)于網(wǎng)頁(yè)頁(yè)面bug報(bào)告的感謝���。
不是所有人都會(huì)對(duì)這一漏洞進(jìn)行深入的研究���。MLT首先發(fā)現(xiàn)這一bug,當(dāng)然���,也可能會(huì)是其他人發(fā)現(xiàn)����,但問(wèn)題就在于����,其他人很可能就會(huì)利用這一漏洞進(jìn)行惡意攻擊,而MLT卻不會(huì)�����。作為一個(gè)網(wǎng)站用戶����,養(yǎng)成良好的習(xí)慣�,謹(jǐn)慎對(duì)待突然彈出的電子郵件鏈接���,時(shí)常檢查所要訪問(wèn)的URL是否正確�,這是非常重要的��。如果一旦發(fā)現(xiàn)有什么異常����,這很有可能就是一個(gè)騙局在等著你,必須提高警惕�。
注:本文不代表贏商薈觀點(diǎn),如有涉及版權(quán)或其他問(wèn)題����,請(qǐng)及時(shí)與我們聯(lián)系,我們將在第一時(shí)間予以處理���。
更多跨境電商資訊�,請(qǐng)掃描二維碼關(guān)注我們微信公眾號(hào)【跨境電商贏商薈】
