Ein harmloses Popup-Fenster, aber es beweist, dass eine Cross-Site-Scripting-Lücke vorhanden ist.
Ein harmloses Popup-Fenster, aber es beweist, dass eine Cross-Site-Scripting-Lücke vorhanden ist. (Bild: Screenshot)

Cross-Site-Scripting: Sicherheitslücke bei Ebay zwei Monate offen

Weiteres Sicherheitsproblem bei Ebay: Eine Sicherheitslücke auf der Webseite von Ebay ermöglicht es Angreifern, fremde Accounts zu übernehmen. Das Unternehmen weiß seit mindestens zwei Monaten Bescheid und reagiert nicht.

Anzeige

Ebay hat in den vergangenen Tagen mit einigen Negativschlagzeilen zu kämpfen: Jüngsten Meldungen zufolge wurden der Auktionswebseite Millionen von Datensätzen mit persönlichen Nutzerdaten gestohlen. Offenbar ist das nicht das einzige Sicherheitsproblem. Seit mehreren Monaten ist auf der Ebay-Webseite eine Cross-Site-Scripting-Lücke offen.

Der Sicherheitsforscher Michael E. hat dieses Problem entdeckt und Ebay bereits vor zwei Monaten darauf hingewiesen. "Nachdem ich in einigen E-Mails versucht hatte, den Verantwortlichen das Problem zu erläutern, brach der Kontakt ab", sagte er Golem.de. "Ebay teilte mir mit, dass es sich um ein akzeptables Risiko handle."

Persistente Lücke

Michael E. konnte gegenüber der Golem.de-Redaktion seine Vorwürfe belegen: Auf einer offiziellen Auktionsseite bei ebay.de, die von ihm angelegt wurde, wurde unautorisierter Javascript-Code ausgeführt. Jeder könnte mit entsprechender Kenntnis eine derartige Seite anlegen. Damit handelt es sich sogar um eine persistente Cross-Site-Scripting-Lücke, was einige Angriffe erleichtert.

Falls es einem Angreifer gelingt, das Opfer auf eine so präparierte Auktionsseite zu locken, kann er praktisch beliebige Aktionen im Account des Opfers durchführen. Eine vollständige Übernahme des Accounts ist danach kein Problem mehr, er könnte beispielsweise nach Belieben Waren auf Kosten des betroffenen Ebay-Nutzers bestellen.

Kein Bezug zum Massenhack

Ein Zusammenhang mit dem jüngsten Diebstahl von Ebay-Benutzerdaten besteht vermutlich nicht. Mit einer derartigen Cross-Site-Scripting-Lücke kann man nur gezielt einzelne Nutzeraccounts übernehmen, ein Massenhack ist damit nicht durchführbar. Kritisch ist die Sicherheitslücke trotzdem.

Es ist nicht das erste Mal, dass Ebay von einem derartigen Problem betroffen ist. 2011 hatte Heise Online über eine entsprechende Lücke berichtet. Die Webseite Xssed veröffentlichte bereits mehrfach Informationen zu Cross-Site-Scripting-Lücken bei Ebay.

Häufiger Fehler mit Konsequenzen

Cross-Site-Scripting-Lücken, oft abgekürzt als XSS bezeichnet, gehören zu den häufigsten Sicherheitsproblemen bei Webanwendungen. Sie treten immer dann auf, wenn eine Webapplikation Daten, die von einem Nutzer kontrolliert werden können, ungefiltert ausgibt. Denn dann kann ein Angreifer darin beliebigen HTML- und Javascript-Code unterbringen. Mit Hilfe von Javascript lassen sich dann verschiedene weitere Angriffe durchführen, beispielsweise kann jemand das Session-Cookie klauen und sich damit im Namen des betroffenen Nutzers einloggen. Obwohl es sich bei Cross-Site-Scripting-Lücken um eher triviale Sicherheitslücken handelt, können die Folgen schwerwiegend sein.

Vollständig verhindern lassen sich Cross-Site-Scripting-Lücken durch den Einsatz einer Technik namens Content Security Policy. Dabei wird in einem HTTP-Header dem Browser mitgeteilt, aus welchen Quellen Javascript-Code geladen werden darf. Bislang unterstützen allerdings noch nicht alle Browser Content Security Policy und nur wenige Webseiten setzen diese Möglichkeit ein.

Nachtrag vom 23. Mai 2014, 14:30 Uhr

Inzwischen hat Ebay auf unsere Nachfrage folgende Antwort geschickt:

"Viele unserer Verkäufer nutzen Technologien wie JavaScript oder Flash, sogenannte aktive Inhalte, um ihre Angebote auf dem eBay-Marktplatz attraktiver zu gestalten. Uns ist bewusst, dass es auch Möglichkeiten gibt, entsprechende Technologien in missbräuchlicher Absicht zu verwenden. Vor diesem Hintergrund haben wir ein mehrstufiges Sicherheitssystem aufgebaut, um die Verwendung von bösartigem Code zu verhindern und zu entdecken. Erstens setzen wir Technologien ein, die Verkäufer daran hindern, bestimmte aktive Inhalte in ihren Artikelbeschreibungen zu verwenden.

Zweitens wenden wir Technologien an, die uns dabei unterstützen, bösartigen Code in Artikelbeschreibungen zu entdecken und entsprechende Angebote zu löschen.

Drittens passen wir unsere Sicherheitssysteme kontinuierlich an, sobald wir von neuen Formen von bösartigem Code erfahren. Die Sicherheit von eBay und von unseren Nutzern ist für uns zentral. Wir bitten jeden, der glaubt, eine Vulnerabilität unserer Seite entdeckt zu haben, uns darüber so schnell wie möglich über unser Sicherheitscenter zu informieren."


thomasd 29. Mai 2014

https://www.ssllabs.com/ssltest/analyze.html?d=signin.ebay.com&s=66.211.185.34

LeSmug 27. Mai 2014

...und diese Firma betreibt dann auch noch einen Zahlungsdienstleister. Ähh...ich...

Gerry v. A. 25. Mai 2014

Verbieten ist die eine Sache, es funktioniert aber.

nocheiner 25. Mai 2014

"Vollständig verhindern lassen sich Cross-Site-Scripting-Lücken durch den Einsatz einer...

elitezocker 24. Mai 2014

Polemik? So, so... 134 Mio Kundendaten bei eBay 77 Mio bei Sony 70 Mio bei Microsoft 18...

Kommentieren



Anzeige

  1. Scientific Programmer (m/w)
    CeMM Research Center for Molecular Medicine of the Austrian Academy of Sciences, Vienna (Austria)
  2. Projektverantwortlicher (m/w) Diagnose / Service-Funktionen von Lokomotiven
    Siemens AG, Erlangen
  3. Sachbearbeiterin / Sachbearbeiter für die Arbeitseinheit "Integrationsmanagement und Systemeigneraufgaben SAP und BI"
    Deutsche Bundesbank, Frankfurt am Main
  4. Systemarchitekt/in Projekt Internet der Dinge
    Robert Bosch GmbH, Stuttgart-Feuerbach

 

Detailsuche


Hardware-Angebote
  1. Alle PCGH-PCs inkl. The Witcher 3
  2. ARCTIC Freezer 13 CO (mit 92mm PWM-Lüfter, für AMD u. Intel)
    26,19€ inkl. Versand
  3. VORBESTELL-AKTION: Microsoft Lumia 640 vorbestellen und 32GB-Speicherkarte gratis dazu erhalten
    (159,00€/179,00€/219,00€ 3G/LTE/XL)

 

Weitere Angebote


Folgen Sie uns
       


  1. Freie Bürosoftware

    Libreoffice liegt im Rennen gegen Openoffice weit vorne

  2. Smartwatch

    Pebble sammelt über 20 Millionen US-Dollar

  3. Manfrotto

    Winziges LED-Dauerlicht für Filmer und Fotografen

  4. Test Woolfe

    Rotkäppchen schwingt die Axt

  5. Palinopsia Bug

    Das Gedächtnis der Grafikkarte auslesen

  6. Die Woche im Video

    Galaxy S6 gegen One (M9), selbstbremsende Autos und Bastelei

  7. Xbox One

    Firmware-Update bringt Sprachnachrichten auf die Konsole

  8. Elektromobilitätsgesetz

    Bundesrat gibt Elektroautos mehr Freiheiten

  9. 2160p60

    Youtube startet fordernde 60-fps-Videos in scharfem 4K

  10. Nuclide

    Facebook stellt quelloffene IDE vor



Haben wir etwas übersehen?

E-Mail an news@golem.de



Raspberry Pi 2: Die Feierabend-Maschine
Raspberry Pi 2
Die Feierabend-Maschine
  1. GCHQ Bastelnde Spione bauen Raspberry-Pi-Cluster
  2. Raspberry Pi 2 Fotografieren nur ohne Blitz
  3. Internet der Dinge Windows 10 läuft kostenlos auf dem Raspberry Pi 2

Gnome 3.16 angesehen: "Tod der Nachrichtenleiste"
Gnome 3.16 angesehen
"Tod der Nachrichtenleiste"
  1. Server-Technik Gnome erstellt App-Sandboxes
  2. Display-Server Volle Wayland-Unterstützung für Gnome noch dieses Jahr
  3. Linux Gnome-Werkzeug soll für bessere Akkulaufzeiten sorgen

Openstack: Viele brauchen es, keiner versteht es - wir erklären es
Openstack
Viele brauchen es, keiner versteht es - wir erklären es
  1. Cebit 2015 Das Open Source Forum debattiert über Limux

  1. LibreOffice macht sich langsam!

    katze_sonne | 04:57

  2. Re: Was kann man da noch gegen machen?

    Moe479 | 04:55

  3. Re: Die "Haben ja nichts zu verbergen" Fraktion

    Moe479 | 04:43

  4. Re: 3 LED's = 60 Euro

    Tzven | 04:27

  5. Re: Quantitaet anstelle von Qualitaet

    katze_sonne | 04:08


  1. 17:19

  2. 15:57

  3. 15:45

  4. 15:03

  5. 10:55

  6. 09:02

  7. 17:09

  8. 15:52


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel