Cross-Site-Scripting: Sicherheitslücke bei Ebay zwei Monate offen
Ein harmloses Popup-Fenster, aber es beweist, dass eine Cross-Site-Scripting-Lücke vorhanden ist. (Bild: Screenshot)

Cross-Site-Scripting: Sicherheitslücke bei Ebay zwei Monate offen

Weiteres Sicherheitsproblem bei Ebay: Eine Sicherheitslücke auf der Webseite von Ebay ermöglicht es Angreifern, fremde Accounts zu übernehmen. Das Unternehmen weiß seit mindestens zwei Monaten Bescheid und reagiert nicht.

Anzeige

Ebay hat in den vergangenen Tagen mit einigen Negativschlagzeilen zu kämpfen: Jüngsten Meldungen zufolge wurden der Auktionswebseite Millionen von Datensätzen mit persönlichen Nutzerdaten gestohlen. Offenbar ist das nicht das einzige Sicherheitsproblem. Seit mehreren Monaten ist auf der Ebay-Webseite eine Cross-Site-Scripting-Lücke offen.

Der Sicherheitsforscher Michael E. hat dieses Problem entdeckt und Ebay bereits vor zwei Monaten darauf hingewiesen. "Nachdem ich in einigen E-Mails versucht hatte, den Verantwortlichen das Problem zu erläutern, brach der Kontakt ab", sagte er Golem.de. "Ebay teilte mir mit, dass es sich um ein akzeptables Risiko handle."

Persistente Lücke

Michael E. konnte gegenüber der Golem.de-Redaktion seine Vorwürfe belegen: Auf einer offiziellen Auktionsseite bei ebay.de, die von ihm angelegt wurde, wurde unautorisierter Javascript-Code ausgeführt. Jeder könnte mit entsprechender Kenntnis eine derartige Seite anlegen. Damit handelt es sich sogar um eine persistente Cross-Site-Scripting-Lücke, was einige Angriffe erleichtert.

Falls es einem Angreifer gelingt, das Opfer auf eine so präparierte Auktionsseite zu locken, kann er praktisch beliebige Aktionen im Account des Opfers durchführen. Eine vollständige Übernahme des Accounts ist danach kein Problem mehr, er könnte beispielsweise nach Belieben Waren auf Kosten des betroffenen Ebay-Nutzers bestellen.

Kein Bezug zum Massenhack

Ein Zusammenhang mit dem jüngsten Diebstahl von Ebay-Benutzerdaten besteht vermutlich nicht. Mit einer derartigen Cross-Site-Scripting-Lücke kann man nur gezielt einzelne Nutzeraccounts übernehmen, ein Massenhack ist damit nicht durchführbar. Kritisch ist die Sicherheitslücke trotzdem.

Es ist nicht das erste Mal, dass Ebay von einem derartigen Problem betroffen ist. 2011 hatte Heise Online über eine entsprechende Lücke berichtet. Die Webseite Xssed veröffentlichte bereits mehrfach Informationen zu Cross-Site-Scripting-Lücken bei Ebay.

Häufiger Fehler mit Konsequenzen

Cross-Site-Scripting-Lücken, oft abgekürzt als XSS bezeichnet, gehören zu den häufigsten Sicherheitsproblemen bei Webanwendungen. Sie treten immer dann auf, wenn eine Webapplikation Daten, die von einem Nutzer kontrolliert werden können, ungefiltert ausgibt. Denn dann kann ein Angreifer darin beliebigen HTML- und Javascript-Code unterbringen. Mit Hilfe von Javascript lassen sich dann verschiedene weitere Angriffe durchführen, beispielsweise kann jemand das Session-Cookie klauen und sich damit im Namen des betroffenen Nutzers einloggen. Obwohl es sich bei Cross-Site-Scripting-Lücken um eher triviale Sicherheitslücken handelt, können die Folgen schwerwiegend sein.

Vollständig verhindern lassen sich Cross-Site-Scripting-Lücken durch den Einsatz einer Technik namens Content Security Policy. Dabei wird in einem HTTP-Header dem Browser mitgeteilt, aus welchen Quellen Javascript-Code geladen werden darf. Bislang unterstützen allerdings noch nicht alle Browser Content Security Policy und nur wenige Webseiten setzen diese Möglichkeit ein.

Nachtrag vom 23. Mai 2014, 14:30 Uhr

Inzwischen hat Ebay auf unsere Nachfrage folgende Antwort geschickt:

"Viele unserer Verkäufer nutzen Technologien wie JavaScript oder Flash, sogenannte aktive Inhalte, um ihre Angebote auf dem eBay-Marktplatz attraktiver zu gestalten. Uns ist bewusst, dass es auch Möglichkeiten gibt, entsprechende Technologien in missbräuchlicher Absicht zu verwenden. Vor diesem Hintergrund haben wir ein mehrstufiges Sicherheitssystem aufgebaut, um die Verwendung von bösartigem Code zu verhindern und zu entdecken. Erstens setzen wir Technologien ein, die Verkäufer daran hindern, bestimmte aktive Inhalte in ihren Artikelbeschreibungen zu verwenden.

Zweitens wenden wir Technologien an, die uns dabei unterstützen, bösartigen Code in Artikelbeschreibungen zu entdecken und entsprechende Angebote zu löschen.

Drittens passen wir unsere Sicherheitssysteme kontinuierlich an, sobald wir von neuen Formen von bösartigem Code erfahren. Die Sicherheit von eBay und von unseren Nutzern ist für uns zentral. Wir bitten jeden, der glaubt, eine Vulnerabilität unserer Seite entdeckt zu haben, uns darüber so schnell wie möglich über unser Sicherheitscenter zu informieren."


thomasd 29. Mai 2014

https://www.ssllabs.com/ssltest/analyze.html?d=signin.ebay.com&s=66.211.185.34

LeSmug 27. Mai 2014

...und diese Firma betreibt dann auch noch einen Zahlungsdienstleister. Ähh...ich...

Gerry v. A. 25. Mai 2014

Verbieten ist die eine Sache, es funktioniert aber.

nocheiner 25. Mai 2014

"Vollständig verhindern lassen sich Cross-Site-Scripting-Lücken durch den Einsatz einer...

elitezocker 24. Mai 2014

Polemik? So, so... 134 Mio Kundendaten bei eBay 77 Mio bei Sony 70 Mio bei Microsoft 18...

Kommentieren



Anzeige

  1. Junior Testmanager eCommerce (m/w)
    exali GmbH, Augsburg
  2. Entwicklungsleiter Digital (m/w)
    MDHL GmbH & Co. KG, Dortmund
  3. Consultant Finance Processes & Applications (m/w)
    Fresenius Netcare GmbH, Bad Homburg
  4. SW-Entwickler für kartenbasierte "Connected Services" (m/w)
    Robert Bosch Car Multimedia GmbH, Hildesheim

 

Detailsuche


Folgen Sie uns
       


  1. EU-Datenschutzreform

    Einigung auf Öffnungsklauseln für die Verwaltung

  2. Abzocke

    Unbekannte kopieren deutsche Blogs

  3. Digitale Agenda

    Ein Papier, das alle enttäuscht

  4. WRT-Node

    Bastelplatine mit OpenWRT und WLAN

  5. Spiegelreflexkamera

    Schwarzer Punkt gegen helle Punkte der Nikon D810

  6. Cliffhanger Productions

    Shadowrun Online und die Nano-Drachen

  7. Star Citizen

    52 Millionen US-Dollar für ein Jetpack

  8. Virtualisierung

    Parallels Desktop 10 macht Tempo

  9. Zertifikate

    Google will vor SHA-1 warnen

  10. Mitfahrdienst auf neuen Wegen

    Uber will eigenen Lieferservice aufbauen



Haben wir etwas übersehen?

E-Mail an news@golem.de



Raspberry B+ im Test: Sparsamer Nachfolger für mehr Bastelspaß
Raspberry B+ im Test
Sparsamer Nachfolger für mehr Bastelspaß
  1. Erweiterungsplatinen Der Raspberry Pi bekommt Hüte
  2. Odroid W Raspberry Pi-Klon für Fortgeschrittene
  3. Eric Anholt Langsamer Fortschritt bei Raspberry-Pi-Grafiktreiber

Banana Pi im Test: Bananen sind keine Himbeeren
Banana Pi im Test
Bananen sind keine Himbeeren
  1. Eric Anholt Freier Grafiktreiber für Raspberry Pi von Broadcom
  2. Raspberry Pi Compute Module ist lieferbar
  3. PiUSV im Test Raspberry Pi per USV sauber herunterfahren

Grey Goo angespielt: Echtzeit-Innovation mit grauer Tentakel-Schmiere
Grey Goo angespielt
Echtzeit-Innovation mit grauer Tentakel-Schmiere
  1. Dead Island 2 angespielt Nur ein kopfloser Zombie ist ein guter Zombie
  2. No Man's Sky Wie aus einer Telefonnummer ein Universum entsteht
  3. Cryengine für Oculus Rift Eichhörnchen-Jagd im virtuellen Crysis-Dschungel

    •  / 
    Zum Artikel