Ομάδα κατασκοπείας, χρησιμοποίησε το CVE-2018-8589 Windows Zero-Day σε επιθέσεις στη Μέση Ανατολή
infosec

Ομάδα κατασκοπείας, χρησιμοποίησε το CVE-2018-8589 Windows Zero-Day σε επιθέσεις στη Μέση Ανατολή

Η Kaspersky αποκάλυψε ότι το CVE-2018-8589 Windows zero-day που διορθώθηκε από το Microsoft Nov. 2018 Patch Tuesday, έχει εκμεταλλευτεί από...
Read More
infosec

WordPress: Ποιες εκδόσεις plugin δέχτηκαν πρόσφατα επιθέσεις;

WordPress: Ποιες εκδοχές plugin δέχτηκαν πρόσφατα επιθέσεις; Ένα νέο ελάττωμα στο δημοφιλές WordPress έχει οδηγήσει στην εκμετάλλευση πολυάριθμων sites που...
Read More
infosec

Το Bitlocker της Microsoft διακυβεύεται λόγω κακής κρυπτογράφησης SSD

Η μη επαρκής ασφάλεια των υπολογιστών, μπορεί μερικές φορές να έχει άσχημα αποτελέσματα, όπως ανακάλυψαν ερευνητές από την Ολλανδία. Διαπίστωσαν...
Read More
infosec

Greunion: Δύο σημαντικές νίκες στους διαγωνισμούς DefCamp και CSAW’s CTF!

Η Greunion, η καταξιωμένη πλέον ομάδα CTF, που προπονεί την ελληνική αποστολή για τον Πανευρωπαϊκό διαγωνισμό European Cyber Security Challenge,...
Read More
infosec

Facebook: Η χτεσινή διακοπή λειτουργίας ήταν απλώς ένα τεστ ρουτίνας

Μήπως το Facebook «κατέρρευσε» εχθές και σε εσάς; Το ίδιο συνέβη σε πολλούς users, στον κόσμο του δημοφιλέστερου μέσου κοινωνικής...
Read More
Latest Posts

Σοβαρή ευπάθεια στο eBay! Προσοχή στο phishing!

Ερευνητές από το Check Point ανακάλυψαν ελάττωμα που επηρεάζει την πλατφόρμα του Ebay που επιτρέπει σε hackers να κάνουν επιθέσεις phishing εναντίον των επισκεπτών.

tips-for-selling-on-ebay

Οι επισκέπτες μπορούν να ξεγελαστούν ανοίγοντας μια σελίδα στο site του eBay που μπορεί να τους εκθέσει σε επιθέσεις phishing. Αυτό είναι δυνατόν επειδή οι εισβολείς θα μπορούσαν να παρακάμψουν το code validation και να εκτελέσουν κακόβουλο JavaScript στους χρήστες μέσω του browser τους ή την mobile εφαρμογή.

Το σενάριο της επίθεσης είναι πολύ απλό. Οι hackers μπορεί να στοχεύσουν χρήστες του eBay στέλνοντας τους μια νόμιμη σελίδα που περιέχει κακόβουλο κώδικα. Χρησιμοποιώντας social engineering, οι χρήστες μπορεί να παρασυρθούν και να ανοίξουν τη σελίδα και να ενεργοποιήσουν την εκτέλεση του κώδικα κι αυτό θα οδηγήσει σε πολλαπλά σενάρια επίθεσης από phishing μέχρι binary download.

Αν αυτό το ελάττωμα που εντοπίστηκε από το Check Point δεν επιδιορθωθεί, οι πελάτες του eBay θα συνεχίσουν να είναι εκτεθειμένοι και πιθανές επιθέσεις phishing θα οδηγήσουν σε κλοπή δεδομένων.

Οι εισβολείς θα πρέπει να χρησιμοποιήσουν JSFuck, μια μη τυποποιημένη τεχνική. Οι ερευνητές ανακάλυψαν ότι αν και η πλατφόρμα απαγορεύει στους χρήστες να χρησιμοποιούν scripts και iFrames στις περιγραφές τους, ο μηχανισμός validation αποτυγχάνει στον εντοπισμό του κώδικα JSFuck!

Τι είναι το JSFuck;b93c86f5f4c27dc2e6a4aa3e7c6396adb926e3567c84ca70ba2af8b4cd2017a3_-original

 

 

 

To JSFuck είναι ένα εσωτερικό κι εκπαιδευτικό στυλ προγραμματισμού βασισμένο σε ατομικά μέρη του JavaScript και χρησιμοποιεί μόνο 6 χαρακτήρες, []()!+ για να γράψει και να εκτελέσει κώδικα. Το eBay δεν το φιλτράρει επιτρέποντας στους επιτιθέμενους να παρακάμψουν τον μηχανισμό validation.

 [button type=»link» link=»https://secnews.gr/100909/wordpress-%ce%b5%cf%80%ce%af%ce%b8%ce%b5%cf%83%ce%b7-%ce%b1%cf%80%cf%8c-whack-a-mole-ad-scam-malware/» size=»btn-large» variation=»btn-warning»]WordPress: Επίθεση από whack-a-mole ad-scam malware[/button]

Τα κακά νέα είναι ότι οι ερευνητές ανέφεραν το πρόβλημα στην πλατφόρμα στις 15 Δεκεμβρίου και πριν 2 εβδομάδες η εταιρία δήλωσε ότι δεν έχει σκοπό να το διορθώσει!

Δείτε τα βίντεο που αποδεικνύουν την ευπάθεια της πλατφόρμας:

 

Έχετε άποψη; Αφήστε το σχόλιό σας.

Ο συντάκτης σας επιτρέπει να αντιγράψετε το κείμενό του, μόνο εφόσον αναφέρετε την πηγή (SecNews.gr), σαν ηλεκτρονική διεύθυνση (Live URL) του άρθρου.
Updated on by

Reader Interactions

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *