В платформе eBay найдены множественные уязвимости

eBay, гигантский онлайн-магазин, доступный более чем в 30 странах, обслуживает более 150 миллионов активных пользователей. Неудивительно, что их сервера периодически становятся целью массированных кибератак.

Компания Check Point обнаружила серьезную уязвимость в платформе онлайн-продажи eBay. Она позволяет атакующим обходить валидацию платформы и контролировать подвергнувшийся уязвимости код, выполняя скрипты на JavaScript, чтобы навредить конкретным пользователям платформы. Если не закрыть эту дыру, клиенты eBay будут по-прежнему подвергаться воздействию потенциальных фишинг-атак и кражи данных.

Атакующий может атаковать определенных пользователей eBay, отправив им страницу, содержащую вредоносный код. После ее открытия код выполнится в браузере или на мобильном устройстве, что дает широкий простор для самых опасных сценариев: от фишинга до бинарной загрузки.

Уязвимость была открыта 15 декабря 2015 года. Компания eBay откликнулась лишь через месяц, 16 января 2016 года — и то лишь затем, чтобы сказать, что исправлять эту уязвимость не собираются. Эксплойт все еще действует.

Чтобы использовать уязвимость, злоумышленнику требуется создать магазин. В подробном описании указывается описание товара с вредоносным кодом. eBay не позволяет пользователям включать в тексты скрипты — эти HTML тэги отфильтровываются. Тем не менее, c помощью JSFuck (http://www.jsfuck.com/) — аналога BrainFuck, только на Javascript, атакующий может создать код, который подгрузит дополнительные вредоносные скрипты с его сервера. Это дает обширные возможности по вставке зловредного JavaScript кода, который может, например, создать несколько полезных нагрузок на конкретного пользователя.

eBay делает простую проверку, но убирает только буквенно-цифровые символы из тэга script. JSFuck позволяет обойти эту защиту, используя всего несколько символов.

Вот что будет, если вы попробуете вставить в описание скрипт со своего сайта:

А вот что будет, если вы вставите JSFuck-код:

И вот чего можно добиться в итоге:

Как вы видите, всплывающее окно появляется в мобильном приложении eBay и предлагает получить скидку, всего лишь скачав некое приложение для получения скидок. Если же пользователь рискнет сделать это, неизвестно, что скачается на его устройство под видом обычного приложения.

Притом, несмотря на масштаб проблемы и потенциальное поле для мошенничества, кто-то в eBay не счел, что это такая уж серьезная уязвимость. Да, скрипты, конечно, фильтруются, но фильтрацию оказалось легко обойти. Неизвестно, одумается ли администрация площадки и сделает ли хоть что-то с этой проблемой.

Источник: Блог компании Check Point.