ИБ-эксперты предупреждают, что некоторые пользователи крупнейшего маркетплейса eBay.com рискуют попасться на удочку хакеров: найденная в онлайн-платформе уязвимость подвергает посетителей опасности фишинговых атак и похищения конфиденциальных данных.

Как утверждает исследователь Check Point Роман Заикин, уязвимость содержится в платформе онлайн-продаж. При эксплуатации бреши злоумышленник может обойти этап проверки кода и исполнить вредоносный JavaScript через браузер или мобильное приложение пользователей.

Check Point сообщила eBay об обнаружении бага 15 декабря, но спустя две недели, поинтересовавшись ходом разработки патча, исследователи узнали, что eBay не собирается закрывать уязвимость.

«Мы продемонстрировали ИБ-команде eBay PoC-эксплойт, при помощи которого мы без проблем обошли меры валидации кода и внедрили вредоносный JavaScript на странице продавца», — утверждают в Check Point.

Отвечая на запрос Threatpost, в eBay подтвердили, что компания не располагает доказательствами мошеннической активности, связанной с выявленной уязвимостью.

«Миссия eBay — обеспечивать удобную и безопасную торговую платформу для миллионов клиентов по всему миру. Мы ответственно относимся к информации об уязвимостях и оперативно оцениваем их значение с учетом возможностей нашей системы безопасности. Мы не обнаружили доказательств мошеннической активности, связанной с описанной в отчете уязвимостью», — говорится в официальном заявлении компании.

Заикин же подчеркивает, что эксплуатация уязвимости возможна: например, злоумышленник может внедрить вредоносный код в описание товара, а eBay при обработке описания может загрузить дополнительный вредоносный скрипт с сервера атакующего.

Для эксплуатации бага хакеру нужно использовать нестандартный прием программирования, называемый JSF**k, чтобы внедрить вредоносный код в описание товара, утверждает Заикин. Хотя eBay и запрещает использовать в описании товара скрипты и плавающие фреймы (eBay фильтрует HTML-теги при проверке кода), на JSF**k этот запрет не распространяется.

Адепты необычной техники программирования характеризуют ее как «эзотерическую и любопытную», «использующую атомарно малые элементы JavaScript».

Так как в JSF**k используются только шесть различных символов — []()!+, а eBay фильтрует из тегов только буквенные и численные символы, злоумышленник может обойти меры безопасности, используемые eBay.

«Эксплуатируя баг, атакующий может внедрить удаленно управляемый JavaScript, при помощи которого можно заманить пользователя на фишинговую страницу или заставить его загрузить вредоносное приложение», — отметили в Check Point.

Категории: Уязвимости