Cross-Site-Scripting: Sicherheitslücke bei Ebay zwei Monate offen

Weiteres Sicherheitsproblem bei Ebay: Eine Sicherheitslücke auf der Webseite von Ebay ermöglicht es Angreifern, fremde Accounts zu übernehmen. Das Unternehmen weiß seit mindestens zwei Monaten Bescheid und reagiert nicht.

Artikel veröffentlicht am , Hanno Böck
Ein harmloses Popup-Fenster, aber es beweist, dass eine Cross-Site-Scripting-Lücke vorhanden ist.
Ein harmloses Popup-Fenster, aber es beweist, dass eine Cross-Site-Scripting-Lücke vorhanden ist. (Bild: Screenshot)

Ebay hat in den vergangenen Tagen mit einigen Negativschlagzeilen zu kämpfen: Jüngsten Meldungen zufolge wurden der Auktionswebseite Millionen von Datensätzen mit persönlichen Nutzerdaten gestohlen. Offenbar ist das nicht das einzige Sicherheitsproblem. Seit mehreren Monaten ist auf der Ebay-Webseite eine Cross-Site-Scripting-Lücke offen.

Der Sicherheitsforscher Michael E. hat dieses Problem entdeckt und Ebay bereits vor zwei Monaten darauf hingewiesen. "Nachdem ich in einigen E-Mails versucht hatte, den Verantwortlichen das Problem zu erläutern, brach der Kontakt ab", sagte er Golem.de. "Ebay teilte mir mit, dass es sich um ein akzeptables Risiko handle."

Persistente Lücke

Michael E. konnte gegenüber der Golem.de-Redaktion seine Vorwürfe belegen: Auf einer offiziellen Auktionsseite bei ebay.de, die von ihm angelegt wurde, wurde unautorisierter Javascript-Code ausgeführt. Jeder könnte mit entsprechender Kenntnis eine derartige Seite anlegen. Damit handelt es sich sogar um eine persistente Cross-Site-Scripting-Lücke, was einige Angriffe erleichtert.

Falls es einem Angreifer gelingt, das Opfer auf eine so präparierte Auktionsseite zu locken, kann er praktisch beliebige Aktionen im Account des Opfers durchführen. Eine vollständige Übernahme des Accounts ist danach kein Problem mehr, er könnte beispielsweise nach Belieben Waren auf Kosten des betroffenen Ebay-Nutzers bestellen.

Kein Bezug zum Massenhack

Ein Zusammenhang mit dem jüngsten Diebstahl von Ebay-Benutzerdaten besteht vermutlich nicht. Mit einer derartigen Cross-Site-Scripting-Lücke kann man nur gezielt einzelne Nutzeraccounts übernehmen, ein Massenhack ist damit nicht durchführbar. Kritisch ist die Sicherheitslücke trotzdem.

Es ist nicht das erste Mal, dass Ebay von einem derartigen Problem betroffen ist. 2011 hatte Heise Online über eine entsprechende Lücke berichtet. Die Webseite Xssed veröffentlichte bereits mehrfach Informationen zu Cross-Site-Scripting-Lücken bei Ebay.

Häufiger Fehler mit Konsequenzen

Cross-Site-Scripting-Lücken, oft abgekürzt als XSS bezeichnet, gehören zu den häufigsten Sicherheitsproblemen bei Webanwendungen. Sie treten immer dann auf, wenn eine Webapplikation Daten, die von einem Nutzer kontrolliert werden können, ungefiltert ausgibt. Denn dann kann ein Angreifer darin beliebigen HTML- und Javascript-Code unterbringen. Mit Hilfe von Javascript lassen sich dann verschiedene weitere Angriffe durchführen, beispielsweise kann jemand das Session-Cookie klauen und sich damit im Namen des betroffenen Nutzers einloggen. Obwohl es sich bei Cross-Site-Scripting-Lücken um eher triviale Sicherheitslücken handelt, können die Folgen schwerwiegend sein.

Vollständig verhindern lassen sich Cross-Site-Scripting-Lücken durch den Einsatz einer Technik namens Content Security Policy. Dabei wird in einem HTTP-Header dem Browser mitgeteilt, aus welchen Quellen Javascript-Code geladen werden darf. Bislang unterstützen allerdings noch nicht alle Browser Content Security Policy und nur wenige Webseiten setzen diese Möglichkeit ein.

Nachtrag vom 23. Mai 2014, 14:30 Uhr

Inzwischen hat Ebay auf unsere Nachfrage folgende Antwort geschickt:

"Viele unserer Verkäufer nutzen Technologien wie JavaScript oder Flash, sogenannte aktive Inhalte, um ihre Angebote auf dem eBay-Marktplatz attraktiver zu gestalten. Uns ist bewusst, dass es auch Möglichkeiten gibt, entsprechende Technologien in missbräuchlicher Absicht zu verwenden. Vor diesem Hintergrund haben wir ein mehrstufiges Sicherheitssystem aufgebaut, um die Verwendung von bösartigem Code zu verhindern und zu entdecken. Erstens setzen wir Technologien ein, die Verkäufer daran hindern, bestimmte aktive Inhalte in ihren Artikelbeschreibungen zu verwenden.

Zweitens wenden wir Technologien an, die uns dabei unterstützen, bösartigen Code in Artikelbeschreibungen zu entdecken und entsprechende Angebote zu löschen.

Drittens passen wir unsere Sicherheitssysteme kontinuierlich an, sobald wir von neuen Formen von bösartigem Code erfahren. Die Sicherheit von eBay und von unseren Nutzern ist für uns zentral. Wir bitten jeden, der glaubt, eine Vulnerabilität unserer Seite entdeckt zu haben, uns darüber so schnell wie möglich über unser Sicherheitscenter zu informieren."

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


thomasd 29. Mai 2014

https://www.ssllabs.com/ssltest/analyze.html?d=signin.ebay.com&s=66.211.185.34

LeSmug 27. Mai 2014

...und diese Firma betreibt dann auch noch einen Zahlungsdienstleister. Ähh...ich...

Gerry v. A. 25. Mai 2014

Verbieten ist die eine Sache, es funktioniert aber.

nocheiner 25. Mai 2014

"Vollständig verhindern lassen sich Cross-Site-Scripting-Lücken durch den Einsatz einer...



Aktuell auf der Startseite von Golem.de
Gebrauchte E-Bikes
Das zweite Leben der Pedelecs

An- und Verkauf leicht gemacht: Wir waren zu Besuch in der E-Bike-Werkstatt von Upway.
Ein Bericht von Martin Wolf

Gebrauchte E-Bikes: Das zweite Leben der Pedelecs
Artikel
  1. Tamagotchi: Smartwatch mit lebendem Organismus zum Füttern vorgestellt
    Tamagotchi
    Smartwatch mit lebendem Organismus zum Füttern vorgestellt

    Wasser und Essen: Forscher haben eine Sportuhr mit Blob entwickelt. Nur wenn es dem Wesen gut geht, stehen alle Funktionen zur Verfügung.

  2. Software: Wie Entwickler Fehler aufspüren - oder gleich vermeiden
    Software
    Wie Entwickler Fehler aufspüren - oder gleich vermeiden

    Es gibt zahlreiche Arten von Softwarefehlern. Wir erklären, welche Testverfahren sie am zuverlässigsten finden und welche Methoden es gibt, um ihnen vorzubeugen.
    Von Michael Bröde

  3. Teure Chips: Hersteller halten Preise durch künstliche Verknappung hoch
    Teure Chips
    Hersteller halten Preise durch künstliche Verknappung hoch

    Wer eine Grafikkarte oder CPU kaufen möchte, muss dafür viel Geld zahlen. Doch nicht nur der freie Markt regelt die Preise, oft wird nachgeholfen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Samsung G5 Curved 27" WQHD 260,53€ • Graka-Preisrutsch bei Mindfactory • Samsung Galaxy S23 jetzt vorbestellbar • Philips Hue 3x E27 + Hue Bridge -57% • PCGH Cyber Week • Dead Space PS5 -16% • PNY RTX 4080 1.269€ • Bis 77% Rabatt auf Fernseher • Roccat Kone Pro -56% [Werbung]
    •  /