Abo
  • Services:
Anzeige
Ein harmloses Popup-Fenster, aber es beweist, dass eine Cross-Site-Scripting-Lücke vorhanden ist.
Ein harmloses Popup-Fenster, aber es beweist, dass eine Cross-Site-Scripting-Lücke vorhanden ist. (Bild: Screenshot)

Cross-Site-Scripting: Sicherheitslücke bei Ebay zwei Monate offen

Weiteres Sicherheitsproblem bei Ebay: Eine Sicherheitslücke auf der Webseite von Ebay ermöglicht es Angreifern, fremde Accounts zu übernehmen. Das Unternehmen weiß seit mindestens zwei Monaten Bescheid und reagiert nicht.

Anzeige

Ebay hat in den vergangenen Tagen mit einigen Negativschlagzeilen zu kämpfen: Jüngsten Meldungen zufolge wurden der Auktionswebseite Millionen von Datensätzen mit persönlichen Nutzerdaten gestohlen. Offenbar ist das nicht das einzige Sicherheitsproblem. Seit mehreren Monaten ist auf der Ebay-Webseite eine Cross-Site-Scripting-Lücke offen.

Der Sicherheitsforscher Michael E. hat dieses Problem entdeckt und Ebay bereits vor zwei Monaten darauf hingewiesen. "Nachdem ich in einigen E-Mails versucht hatte, den Verantwortlichen das Problem zu erläutern, brach der Kontakt ab", sagte er Golem.de. "Ebay teilte mir mit, dass es sich um ein akzeptables Risiko handle."

Persistente Lücke

Michael E. konnte gegenüber der Golem.de-Redaktion seine Vorwürfe belegen: Auf einer offiziellen Auktionsseite bei ebay.de, die von ihm angelegt wurde, wurde unautorisierter Javascript-Code ausgeführt. Jeder könnte mit entsprechender Kenntnis eine derartige Seite anlegen. Damit handelt es sich sogar um eine persistente Cross-Site-Scripting-Lücke, was einige Angriffe erleichtert.

Falls es einem Angreifer gelingt, das Opfer auf eine so präparierte Auktionsseite zu locken, kann er praktisch beliebige Aktionen im Account des Opfers durchführen. Eine vollständige Übernahme des Accounts ist danach kein Problem mehr, er könnte beispielsweise nach Belieben Waren auf Kosten des betroffenen Ebay-Nutzers bestellen.

Kein Bezug zum Massenhack

Ein Zusammenhang mit dem jüngsten Diebstahl von Ebay-Benutzerdaten besteht vermutlich nicht. Mit einer derartigen Cross-Site-Scripting-Lücke kann man nur gezielt einzelne Nutzeraccounts übernehmen, ein Massenhack ist damit nicht durchführbar. Kritisch ist die Sicherheitslücke trotzdem.

Es ist nicht das erste Mal, dass Ebay von einem derartigen Problem betroffen ist. 2011 hatte Heise Online über eine entsprechende Lücke berichtet. Die Webseite Xssed veröffentlichte bereits mehrfach Informationen zu Cross-Site-Scripting-Lücken bei Ebay.

Häufiger Fehler mit Konsequenzen

Cross-Site-Scripting-Lücken, oft abgekürzt als XSS bezeichnet, gehören zu den häufigsten Sicherheitsproblemen bei Webanwendungen. Sie treten immer dann auf, wenn eine Webapplikation Daten, die von einem Nutzer kontrolliert werden können, ungefiltert ausgibt. Denn dann kann ein Angreifer darin beliebigen HTML- und Javascript-Code unterbringen. Mit Hilfe von Javascript lassen sich dann verschiedene weitere Angriffe durchführen, beispielsweise kann jemand das Session-Cookie klauen und sich damit im Namen des betroffenen Nutzers einloggen. Obwohl es sich bei Cross-Site-Scripting-Lücken um eher triviale Sicherheitslücken handelt, können die Folgen schwerwiegend sein.

Vollständig verhindern lassen sich Cross-Site-Scripting-Lücken durch den Einsatz einer Technik namens Content Security Policy. Dabei wird in einem HTTP-Header dem Browser mitgeteilt, aus welchen Quellen Javascript-Code geladen werden darf. Bislang unterstützen allerdings noch nicht alle Browser Content Security Policy und nur wenige Webseiten setzen diese Möglichkeit ein.

Nachtrag vom 23. Mai 2014, 14:30 Uhr

Inzwischen hat Ebay auf unsere Nachfrage folgende Antwort geschickt:

"Viele unserer Verkäufer nutzen Technologien wie JavaScript oder Flash, sogenannte aktive Inhalte, um ihre Angebote auf dem eBay-Marktplatz attraktiver zu gestalten. Uns ist bewusst, dass es auch Möglichkeiten gibt, entsprechende Technologien in missbräuchlicher Absicht zu verwenden. Vor diesem Hintergrund haben wir ein mehrstufiges Sicherheitssystem aufgebaut, um die Verwendung von bösartigem Code zu verhindern und zu entdecken. Erstens setzen wir Technologien ein, die Verkäufer daran hindern, bestimmte aktive Inhalte in ihren Artikelbeschreibungen zu verwenden.

Zweitens wenden wir Technologien an, die uns dabei unterstützen, bösartigen Code in Artikelbeschreibungen zu entdecken und entsprechende Angebote zu löschen.

Drittens passen wir unsere Sicherheitssysteme kontinuierlich an, sobald wir von neuen Formen von bösartigem Code erfahren. Die Sicherheit von eBay und von unseren Nutzern ist für uns zentral. Wir bitten jeden, der glaubt, eine Vulnerabilität unserer Seite entdeckt zu haben, uns darüber so schnell wie möglich über unser Sicherheitscenter zu informieren."


eye home zur Startseite
thomasd 29. Mai 2014

https://www.ssllabs.com/ssltest/analyze.html?d=signin.ebay.com&s=66.211.185.34

LeSmug 27. Mai 2014

...und diese Firma betreibt dann auch noch einen Zahlungsdienstleister. Ähh...ich...

Gerry v. A. 25. Mai 2014

Verbieten ist die eine Sache, es funktioniert aber.

nocheiner 25. Mai 2014

"Vollständig verhindern lassen sich Cross-Site-Scripting-Lücken durch den Einsatz einer...

elitezocker 24. Mai 2014

Polemik? So, so... 134 Mio Kundendaten bei eBay 77 Mio bei Sony 70 Mio bei Microsoft 18...



Anzeige

Stellenmarkt
  1. Robert Bosch GmbH, Stuttgart-Feuerbach
  2. Daimler AG, Leinfelden-Echterdingen
  3. Thalia Bücher GmbH, Berlin
  4. Kassenzahnärztliche Vereinigung Bayerns, München


Anzeige
Spiele-Angebote
  1. 69,99€
  2. 22,13€ inkl. Versand
  3. 4,99€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Kritische Bereiche der IT-Sicherheit in Unternehmen
  2. Mit digitalen Workflows Geschäftsprozesse agiler machen
  3. Potenzialanalyse für eine effiziente DMS- und ECM-Strategie


  1. Werne

    Adventsstreik bei Amazon brachte Verkehrsstau

  2. Syndicate (1993)

    Vier Agenten für ein Halleluja

  3. Nintendo

    Super Mario Run für iOS läuft nur mit Onlineverbindung

  4. USA

    Samsung will Note 7 in Backsteine verwandeln

  5. Hackerangriffe

    Obama will Einfluss Russlands auf US-Wahl untersuchen lassen

  6. Free 2 Play

    US-Amerikaner verzockte 1 Million US-Dollar in Game of War

  7. Die Woche im Video

    Bei den Abmahnanwälten knallen wohl schon die Sektkorken

  8. DNS NET

    Erste Kunden in Sachsen-Anhalt erhalten 500 MBit/s

  9. Netzwerk

    EWE reduziert FTTH auf 40 MBit/s im Upload

  10. Rahmenvertrag

    VG Wort will mit Unis neue Zwischenlösung für 2017 finden



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Oculus Touch im Test: Tolle Tracking-Controller für begrenzte Roomscale-Erfahrung
Oculus Touch im Test
Tolle Tracking-Controller für begrenzte Roomscale-Erfahrung
  1. Microsoft Oculus Rift bekommt Kinomodus für Xbox One
  2. Gestensteuerung Oculus Touch erscheint im Dezember für 200 Euro
  3. Facebook Oculus zeigt drahtloses VR-Headset mit integriertem Tracking

Canon EOS 5D Mark IV im Test: Grundsolides Arbeitstier mit einer Portion Extravaganz
Canon EOS 5D Mark IV im Test
Grundsolides Arbeitstier mit einer Portion Extravaganz
  1. Video Youtube spielt Livestreams in 4K ab
  2. Ausgabegeräte Youtube unterstützt Videos mit High Dynamic Range
  3. Canon EOS M5 Canons neue Systemkamera hat einen integrierten Sucher

Named Data Networking: NDN soll das Internet revolutionieren
Named Data Networking
NDN soll das Internet revolutionieren
  1. Geheime Überwachung Der Kanarienvogel von Riseup singt nicht mehr
  2. Bundesförderung Bundesländer lassen beim Breitbandausbau Milliarden liegen
  3. Internet Protocol Der Adresskollaps von IPv4 kann verzögert werden

  1. Re: Super Mario Run bereits jetzt spielen

    Nielz | 14:29

  2. So ein Quatsch

    Mopsmelder500 | 14:26

  3. Re: Macht wenig Sinn

    opodeldox | 14:19

  4. Re: Verizon will also Verursacher sein

    Kenterfie | 14:10

  5. Nintendo kapierts einfach nicht

    x00x | 14:10


  1. 13:54

  2. 09:49

  3. 17:27

  4. 12:53

  5. 12:14

  6. 11:07

  7. 09:01

  8. 18:40


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel