Ebay om de tuin leiden met Java script

Dat is gewoon een fout in de code van Ebay, dit kun je heel simpel ondervangen en dus onmogelijk maken. En javascript is ook nog eens prima uit te zetten in de browser

Dat heet een XSS (Cross Site Scripting) exploit: door in een invoerveld een stukje JS op te nemen dat wordt uitgevoerd op de PC van een bezoeker kan je van alles achterhalen.
Feit is dat de code van Ebay dat onmogelijk zou moeten maken door HTML en script-tags uit invoervelden te strippen of onschadelijk te maken zodat ze niet uitgevoerd kunnen worden.

Eerlijkheid gebied om te vermelden dat ook op GoT we hier in het verleden wel eens mee te maken hebben gehad, echter zijn we hier wel heel scherp op en zijn deze lekken tot nu toe nog altijd ontdekt en gefixed voordat er door anderen misbruik van is gemaakt.

Ik durf te beweren dat heel veel sites wel ergens vulnerable zijn voor XSS, ik heb recentelijk nog een aantal andere sites gewezen op dit soort vulnerabilities in hun code.

Anyway, het is duidelijk dat dit topic niet in BUG thuishoort. Ik verplaats hem derhalve naar B&V omdat ik denk dat het daar meer thuishoort

crisp schreef op donderdag 16 december 2004 @ 08:56:
Dat heet een XSS (Cross Site Scripting) exploit: door in een invoerveld een stukje JS op te nemen dat wordt uitgevoerd op de PC van een bezoeker kan je van alles achterhalen.
Feit is dat de code van Ebay dat onmogelijk zou moeten maken door HTML en script-tags uit invoervelden te strippen of onschadelijk te maken zodat ze niet uitgevoerd kunnen worden.

Eerlijkheid gebied om te vermelden dat ook op GoT we hier in het verleden wel eens mee te maken hebben gehad, echter zijn we hier wel heel scherp op en zijn deze lekken tot nu toe nog altijd ontdekt en gefixed voordat er door anderen misbruik van is gemaakt.

Ik durf te beweren dat heel veel sites wel ergens vulnerable zijn voor XSS, ik heb recentelijk nog een aantal andere sites gewezen op dit soort vulnerabilities in hun code.

Anyway, het is duidelijk dat dit topic niet in BUG thuishoort. Ik verplaats hem derhalve naar B&V omdat ik denk dat het daar meer thuishoort

Zijn tweakers.net en GoT vulnerable voor XSS?

(je weet maar nooit)

edit: slecht gelezen. Sorry. Het is nog vroeg.

[ Voor 3% gewijzigd door magnifor op 16-12-2004 09:14 ]

Baris Ka schreef op donderdag 16 december 2004 @ 09:12:
[...]


Zijn tweakers.net en GoT vulnerable voor XSS?

(je weet maar nooit)

edit: slecht gelezen. Sorry. Het is nog vroeg.

Het risico op GoT is ook nog eens kleiner aangezien we geen wachtwoorden (al dan niet versleuteld) opslaan in clientside cookies, maar enkel een sessie-id die ook nog eens gekoppelt kan worden aan een IP (optioneel bij aanmelden, maar zeker aan te raden als je vanaf een vast IP werkt).
Verder wordt bij het aanmelden je wachtwoord ook nog eens versleuteld met een eenmalige challenge, dus ook sniffing heeft geen zin om wachtwoorden te kapen.

crisp schreef op donderdag 16 december 2004 @ 09:22:
[...]

Het risico op GoT is ook nog eens kleiner aangezien we geen wachtwoorden (al dan niet versleuteld) opslaan in clientside cookies, maar enkel een sessie-id die ook nog eens gekoppelt kan worden aan een IP (optioneel bij aanmelden, maar zeker aan te raden als je vanaf een vast IP werkt).
Verder wordt bij het aanmelden je wachtwoord ook nog eens versleuteld met een eenmalige challenge, dus ook sniffing heeft geen zin om wachtwoorden te kapen.

Oke, dat is fijn om te weten. Toch vind ik het schandalig dat Ebay zo'n erge bug heeft. Hopelijk wordt het effe snel gefixt. Want ik wil niet als ik reageer op een aanbod, dat mijn wachtwoord wordt achterhaald.

Geldt dit alleen voor ebauy de of voor heel ebay (verwacht ik).

Heeft die te maken met mailtjes die lijken van Ebay af te komen maar zodra je op de link klinkt (naar ebay.com) dat je dan toch ergens anders uitkomt en je CC details in moet kloppen?

* Gunner heeft gister nog zo'n mail gehad.

Bor_de_Wollef schreef op donderdag 16 december 2004 @ 09:37:
Geldt dit alleen voor ebauy de of voor heel ebay (verwacht ik).

Ik denk wel dat ze overal dezelfde code gebruiken min of meer, dus waarschijnlijk zijn ze overal vulnerable.

Gunner schreef op donderdag 16 december 2004 @ 09:44:
Heeft die te maken met mailtjes die lijken van Ebay af te komen maar zodra je op de link klinkt (naar ebay.com) dat je dan toch ergens anders uitkomt en je CC details in moet kloppen?

* Gunner heeft gister nog zo'n mail gehad.

Nee, dat is iets anders

Gunner schreef op donderdag 16 december 2004 @ 09:44:
Heeft die te maken met mailtjes die lijken van Ebay af te komen maar zodra je op de link klinkt (naar ebay.com) dat je dan toch ergens anders uitkomt en je CC details in moet kloppen?

* Gunner heeft gister nog zo'n mail gehad.

Heeft er niets mee te maken.
Lees volgende pagina: spoof-email
Daarin staat wat je ermee kan/moet doen.

Heeft eBay hier eigenlijk al actie op ondernomen?