Abo
  • Services:

Cross-Site-Scripting: Sicherheitslücke bei Ebay zwei Monate offen

Weiteres Sicherheitsproblem bei Ebay: Eine Sicherheitslücke auf der Webseite von Ebay ermöglicht es Angreifern, fremde Accounts zu übernehmen. Das Unternehmen weiß seit mindestens zwei Monaten Bescheid und reagiert nicht.

Artikel veröffentlicht am , Hanno Böck
Ein harmloses Popup-Fenster, aber es beweist, dass eine Cross-Site-Scripting-Lücke vorhanden ist.
Ein harmloses Popup-Fenster, aber es beweist, dass eine Cross-Site-Scripting-Lücke vorhanden ist. (Bild: Screenshot)

Ebay hat in den vergangenen Tagen mit einigen Negativschlagzeilen zu kämpfen: Jüngsten Meldungen zufolge wurden der Auktionswebseite Millionen von Datensätzen mit persönlichen Nutzerdaten gestohlen. Offenbar ist das nicht das einzige Sicherheitsproblem. Seit mehreren Monaten ist auf der Ebay-Webseite eine Cross-Site-Scripting-Lücke offen.

Stellenmarkt
  1. M-net Telekommunikations GmbH, München
  2. McService GmbH, München

Der Sicherheitsforscher Michael E. hat dieses Problem entdeckt und Ebay bereits vor zwei Monaten darauf hingewiesen. "Nachdem ich in einigen E-Mails versucht hatte, den Verantwortlichen das Problem zu erläutern, brach der Kontakt ab", sagte er Golem.de. "Ebay teilte mir mit, dass es sich um ein akzeptables Risiko handle."

Persistente Lücke

Michael E. konnte gegenüber der Golem.de-Redaktion seine Vorwürfe belegen: Auf einer offiziellen Auktionsseite bei ebay.de, die von ihm angelegt wurde, wurde unautorisierter Javascript-Code ausgeführt. Jeder könnte mit entsprechender Kenntnis eine derartige Seite anlegen. Damit handelt es sich sogar um eine persistente Cross-Site-Scripting-Lücke, was einige Angriffe erleichtert.

Falls es einem Angreifer gelingt, das Opfer auf eine so präparierte Auktionsseite zu locken, kann er praktisch beliebige Aktionen im Account des Opfers durchführen. Eine vollständige Übernahme des Accounts ist danach kein Problem mehr, er könnte beispielsweise nach Belieben Waren auf Kosten des betroffenen Ebay-Nutzers bestellen.

Kein Bezug zum Massenhack

Ein Zusammenhang mit dem jüngsten Diebstahl von Ebay-Benutzerdaten besteht vermutlich nicht. Mit einer derartigen Cross-Site-Scripting-Lücke kann man nur gezielt einzelne Nutzeraccounts übernehmen, ein Massenhack ist damit nicht durchführbar. Kritisch ist die Sicherheitslücke trotzdem.

Es ist nicht das erste Mal, dass Ebay von einem derartigen Problem betroffen ist. 2011 hatte Heise Online über eine entsprechende Lücke berichtet. Die Webseite Xssed veröffentlichte bereits mehrfach Informationen zu Cross-Site-Scripting-Lücken bei Ebay.

Häufiger Fehler mit Konsequenzen

Cross-Site-Scripting-Lücken, oft abgekürzt als XSS bezeichnet, gehören zu den häufigsten Sicherheitsproblemen bei Webanwendungen. Sie treten immer dann auf, wenn eine Webapplikation Daten, die von einem Nutzer kontrolliert werden können, ungefiltert ausgibt. Denn dann kann ein Angreifer darin beliebigen HTML- und Javascript-Code unterbringen. Mit Hilfe von Javascript lassen sich dann verschiedene weitere Angriffe durchführen, beispielsweise kann jemand das Session-Cookie klauen und sich damit im Namen des betroffenen Nutzers einloggen. Obwohl es sich bei Cross-Site-Scripting-Lücken um eher triviale Sicherheitslücken handelt, können die Folgen schwerwiegend sein.

Vollständig verhindern lassen sich Cross-Site-Scripting-Lücken durch den Einsatz einer Technik namens Content Security Policy. Dabei wird in einem HTTP-Header dem Browser mitgeteilt, aus welchen Quellen Javascript-Code geladen werden darf. Bislang unterstützen allerdings noch nicht alle Browser Content Security Policy und nur wenige Webseiten setzen diese Möglichkeit ein.

Nachtrag vom 23. Mai 2014, 14:30 Uhr

Inzwischen hat Ebay auf unsere Nachfrage folgende Antwort geschickt:

"Viele unserer Verkäufer nutzen Technologien wie JavaScript oder Flash, sogenannte aktive Inhalte, um ihre Angebote auf dem eBay-Marktplatz attraktiver zu gestalten. Uns ist bewusst, dass es auch Möglichkeiten gibt, entsprechende Technologien in missbräuchlicher Absicht zu verwenden. Vor diesem Hintergrund haben wir ein mehrstufiges Sicherheitssystem aufgebaut, um die Verwendung von bösartigem Code zu verhindern und zu entdecken. Erstens setzen wir Technologien ein, die Verkäufer daran hindern, bestimmte aktive Inhalte in ihren Artikelbeschreibungen zu verwenden.

Zweitens wenden wir Technologien an, die uns dabei unterstützen, bösartigen Code in Artikelbeschreibungen zu entdecken und entsprechende Angebote zu löschen.

Drittens passen wir unsere Sicherheitssysteme kontinuierlich an, sobald wir von neuen Formen von bösartigem Code erfahren. Die Sicherheit von eBay und von unseren Nutzern ist für uns zentral. Wir bitten jeden, der glaubt, eine Vulnerabilität unserer Seite entdeckt zu haben, uns darüber so schnell wie möglich über unser Sicherheitscenter zu informieren."



Anzeige
Top-Angebote
  1. 127,90€ (effektiver Preis für SSD 107,90€)
  2. (u. a. Battlefield 5, FIFA 19, Battlefront 2, NHL 19)
  3. (u. a. FIFA 19, New Super Mario Bros. U Deluxe, Donkey Kong Contry)
  4. (aktuell u. a. Ryzen 7 2700X 299€, Playstation-Store-Guthaben für 18,40€ statt 20€ oder...

thomasd 29. Mai 2014

https://www.ssllabs.com/ssltest/analyze.html?d=signin.ebay.com&s=66.211.185.34

LeSmug 27. Mai 2014

...und diese Firma betreibt dann auch noch einen Zahlungsdienstleister. Ähh...ich...

Gerry v. A. 25. Mai 2014

Verbieten ist die eine Sache, es funktioniert aber.

nocheiner 25. Mai 2014

"Vollständig verhindern lassen sich Cross-Site-Scripting-Lücken durch den Einsatz einer...

elitezocker 24. Mai 2014

Polemik? So, so... 134 Mio Kundendaten bei eBay 77 Mio bei Sony 70 Mio bei Microsoft 18...


Folgen Sie uns
       


Odroid Go - Test

Mit dem Odroid Go kann man Doom spielen - aber dank seines ESP32-Mikrocontrollers ist er auch für Hard- und Softwarebastler empfehlenswert.

Odroid Go - Test Video aufrufen
WLAN-Tracking und Datenschutz: Ist das Tracken von Nutzern übers Smartphone legal?
WLAN-Tracking und Datenschutz
Ist das Tracken von Nutzern übers Smartphone legal?

Unternehmen tracken das Verhalten von Nutzern nicht nur beim Surfen im Internet, sondern per WLAN auch im echten Leben: im Supermarkt, im Hotel - und selbst auf der Straße. Ob sie das dürfen, ist juristisch mehr als fraglich.
Eine Analyse von Harald Büring

  1. Gefahr für Werbenetzwerke Wie legal ist das Tracking von Online-Nutzern?
  2. Landtagswahlen in Bayern und Hessen Tracker im Wahl-O-Mat der bpb-Medienpartner
  3. Tracking Facebook wechselt zu First-Party-Cookie

Marvel im Auto: Nie wieder eine Fahrt mit quengelnden Kindern
Marvel im Auto
Nie wieder eine Fahrt mit quengelnden Kindern

CES 2019 Audi und Holoride arbeiten an einer offenen Plattform für VR-Spiele im Auto. Marvel steuert beliebte Charaktere für Spiele bei. Golem.de hat in Las Vegas eine Testrunde durch den Weltraum gedreht.
Ein Erfahrungsbericht von Dirk Kunde


    Vivy & Co.: Gesundheitsapps kranken an der Sicherheit
    Vivy & Co.
    Gesundheitsapps kranken an der Sicherheit

    35C3 Mit Sicherheitsversprechen geizen die Hersteller von Gesundheitsapps wahrlich nicht. Sie halten sie jedoch oft nicht.
    Von Moritz Tremmel

    1. Krankenkassen Vivy-App gibt Daten preis
    2. Krankenversicherung Der Papierkrieg geht weiter
    3. Imagen Tech KI-System Osteodetect erkennt Knochenbrüche

      •  /