You have been hacked! Πως να ανακτήσετε τον παραβιασμένο λογαριασμό σας
infosec

You have been hacked! Πως να ανακτήσετε τον παραβιασμένο λογαριασμό σας

Η ιδέα του να σας παραβιάσουν τον λογαριασμό είναι αρκετά αγχωτική και τρομακτική. Οι περισσότεροι από εσάς θα γνωρίζετε τι...
Read More
infosec

Παραβίαση δεδομένων σε 772 εκατομμύρια λογαριασμούς email

Σε περίπτωση που έχετε εγγραφεί σε μία από τις πολλές υπηρεσίες που σας ειδοποιεί για τις παραβιάσεις δεδομένων, τότε θα...
Read More
infosec

Μήπως το 10yearchallenge είναι ένα ακόμα κόλπο υποκλοπής δεδομένων;

Το # 10yearchallenge είναι η νέα μόδα στο Facebook. Οι χρήστες πλημμυρίζουν το NewsFeed με φωτογραφίες από το 2009 και...
Read More
infosec

Πώς το ES File Explorer εκθέτει δεδομένα συσκευών Android;

Γιατί μια από τις πιο δημοφιλείς εφαρμογές Android τρέχει ένα κρυφό web server στο παρασκήνιο; Το ES File Explorer ισχυρίζεται...
Read More
infosec

To project Alias εμποδίζει την Alexa και το Google Home να υποκλέψουν συνομιλίες

Οι έξυπνοι βοηθοί, όπως το Amazon Echo και το Google Home, δημιούργησαν ανησυχίες από την πρώτη ημέρα κυκλοφορίας τους σχετικά...
Read More
Latest Posts

Σοβαρή ευπάθεια στο eBay! Προσοχή στο phishing!

Ερευνητές από το Check Point ανακάλυψαν ελάττωμα που επηρεάζει την πλατφόρμα του Ebay που επιτρέπει σε hackers να κάνουν επιθέσεις phishing εναντίον των επισκεπτών.

tips-for-selling-on-ebay

Οι επισκέπτες μπορούν να ξεγελαστούν ανοίγοντας μια σελίδα στο site του eBay που μπορεί να τους εκθέσει σε επιθέσεις phishing. Αυτό είναι δυνατόν επειδή οι εισβολείς θα μπορούσαν να παρακάμψουν το code validation και να εκτελέσουν κακόβουλο JavaScript στους χρήστες μέσω του browser τους ή την mobile εφαρμογή.

Το σενάριο της επίθεσης είναι πολύ απλό. Οι hackers μπορεί να στοχεύσουν χρήστες του eBay στέλνοντας τους μια νόμιμη σελίδα που περιέχει κακόβουλο κώδικα. Χρησιμοποιώντας social engineering, οι χρήστες μπορεί να παρασυρθούν και να ανοίξουν τη σελίδα και να ενεργοποιήσουν την εκτέλεση του κώδικα κι αυτό θα οδηγήσει σε πολλαπλά σενάρια επίθεσης από phishing μέχρι binary download.

Αν αυτό το ελάττωμα που εντοπίστηκε από το Check Point δεν επιδιορθωθεί, οι πελάτες του eBay θα συνεχίσουν να είναι εκτεθειμένοι και πιθανές επιθέσεις phishing θα οδηγήσουν σε κλοπή δεδομένων.

Οι εισβολείς θα πρέπει να χρησιμοποιήσουν JSFuck, μια μη τυποποιημένη τεχνική. Οι ερευνητές ανακάλυψαν ότι αν και η πλατφόρμα απαγορεύει στους χρήστες να χρησιμοποιούν scripts και iFrames στις περιγραφές τους, ο μηχανισμός validation αποτυγχάνει στον εντοπισμό του κώδικα JSFuck!

Τι είναι το JSFuck;b93c86f5f4c27dc2e6a4aa3e7c6396adb926e3567c84ca70ba2af8b4cd2017a3_-original

 

 

 

To JSFuck είναι ένα εσωτερικό κι εκπαιδευτικό στυλ προγραμματισμού βασισμένο σε ατομικά μέρη του JavaScript και χρησιμοποιεί μόνο 6 χαρακτήρες, []()!+ για να γράψει και να εκτελέσει κώδικα. Το eBay δεν το φιλτράρει επιτρέποντας στους επιτιθέμενους να παρακάμψουν τον μηχανισμό validation.

 [button type=»link» link=»https://secnews.gr/100909/wordpress-%ce%b5%cf%80%ce%af%ce%b8%ce%b5%cf%83%ce%b7-%ce%b1%cf%80%cf%8c-whack-a-mole-ad-scam-malware/» size=»btn-large» variation=»btn-warning»]WordPress: Επίθεση από whack-a-mole ad-scam malware[/button]

Τα κακά νέα είναι ότι οι ερευνητές ανέφεραν το πρόβλημα στην πλατφόρμα στις 15 Δεκεμβρίου και πριν 2 εβδομάδες η εταιρία δήλωσε ότι δεν έχει σκοπό να το διορθώσει!

Δείτε τα βίντεο που αποδεικνύουν την ευπάθεια της πλατφόρμας:

 

Έχετε άποψη; Αφήστε το σχόλιό σας.

Ο συντάκτης σας επιτρέπει να αντιγράψετε το κείμενό του, μόνο εφόσον αναφέρετε την πηγή (SecNews.gr), σαν ηλεκτρονική διεύθυνση (Live URL) του άρθρου.
Updated on by

Reader Interactions

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *