Cómo mantener la seguridad del más reciente vulnerabilidad de seguridad de ebay

EBay tiene una reputación de las prácticas menos que estelar de seguridad, y parece que no va a mejorar en el corto plazo. Una vulnerabilidad de seguridad expuesto recientemente está poniendo en peligro a algunos usuarios, y eBay ha decidido emitir sólo una solución parcial, en lugar de una completa.

Esto es lo que necesita saber acerca de la vulnerabilidad, cómo funciona, y cómo mantenerse a salvo.

Contenido, estafas activos XSS, y eBay

La vulnerabilidad de seguridad en cuestión está ligada al “contenido activo”, que los vendedores pueden incrustar en sus anuncios. El contenido activo puede usar una variedad de diferentes tecnologías para hacer una descripción del artículo más interesante o útil - que podría ser una aplicación pequeña Flash, un menú de javascript, un sondeo de opinión, o cualquier otra cosa que está integrado e interactivo. En el anuncio se muestra a continuación, es un script llamado “xsellgalleryscript” que trata de llegar a comprar otros artículos del vendedor.

ebay-descripción-javascript

En la mayoría de los casos, el contenido activo es totalmente seguro. Es algo molesto, pero seguro. Sin embargo, con cross-site scripting (XSS), una secuencia de comandos que se encuentra en otro sitio se puede cargar en una página de eBay, y que la escritura podría ser cualquier cosa - que podría descargar malware, phishing intentar sus credenciales de usuario, o crear otros tipos de caos. Por supuesto, ya que este ataque es una bastante común, eBay utiliza filtros que intentan evitarlo.¿Qué hay Cross-Site Scripting (XSS), & ¿Por qué es una amenaza de seguridad¿Qué hay Cross-Site Scripting (XSS), & ¿Por qué es una amenaza de seguridadCross-site scripting vulnerabilidades son el mayor problema de seguridad sitio Web hoy. Los estudios han encontrado que son sorprendentemente comunes - 55% de los sitios web contenía vulnerabilidades XSS en 2011, según el último informe de sombrero blanco de seguridad, publicado en junio ...Lee mas

Por desgracia, alguien encontró una salida. Se utiliza una técnica llamada JSF * ck, una forma fascinante de escribir código javascript utilizando sólo seis caracteres: [] () +!. Con dos soportes, dos paréntesis, un signo de exclamación y un signo más, puede crear y ejecutar cualquier código javascript.

Vídeo: Ataques DDoS ¿por qué es una ciberextorsión al alza?

jsfuck

Es un ejercicio divertido, como el Brainf ** k lenguaje de programación. Pero también puede ser utilizado para obtener por los filtros de eBay.10 lenguajes de programación que probablemente nunca oído hablar de10 lenguajes de programación que probablemente nunca oído hablar deHay algunos lenguajes de programación muy extraños y sorprendentes que han convertido la lógica en su cabeza y todavía han logrado mantenerse fiel a la ciencia de la comunicación con un ordenador. Vas a...Lee mas

Vídeo: Tip Nro.1 Vulnerabilidades y Parches de Seguridad

Una firma de seguridad cibernética llamada Check Point informó por primera vez de esta vulnerabilidad, e indicó que podría ser utilizado en el sitio de escritorio oa través de las aplicaciones iOS o Android para descargar malware o redirigir a los usuarios a páginas de phishing en los que pueden inadvertidamente dar credenciales de usuario. He aquí un video de un ataque en acción:

Check Point demostrarse e indicarse esta vulnerabilidad a eBay en diciembre de 2015, esperando que iban a actualizar su software para evitar el exploit. De acuerdo con la BBC, eBay dijo Check Point en enero que no tenían planes para corregir la vulnerabilidad, pero que en práctica una solución parcial en febrero. ¿Por qué sólo una solución parcial? "[YO]t es importante entender que el contenido malicioso en nuestro mercado es extraordinariamente raro,”eBay a la BBC.

A pesar de la insistencia de eBay que el riesgo de este tipo de ataque es extremadamente baja, la firma de seguridad Netcraft informó de que estaba siendo utilizada activamente para phishing direcciones de correo electrónico de los compradores potenciales y animarles a completar el pago a través de un servicio de custodia falso. Y la estafa funcionó - Netcraft ha compartido imágenes de la petición de un usuario molesto en busca de ayuda después de haber sido informados por eBay, la policía, y su banco de que no podían ayudarle.Exactamente lo que es el phishing & ¿Qué técnicas están utilizando estafadores?Exactamente lo que es el phishing & ¿Qué técnicas están utilizando estafadores?Nunca he sido un fan de la pesca, a mí mismo. Esto es sobre todo debido a una expedición temprana donde mi primo arregló para atrapar peces, mientras que dos Cogí postal. Al igual que en la pesca de la vida real, fraudes electrónicos no son ...Lee mas

Cómo protegerse de la vulnerabilidad XSS en eBay

Mientras eBay no soluciona totalmente este problema, hay una posibilidad de que usted podría funcionar en una lista que un estafador ha comprometido y se ponga en riesgo. Hay algunas cosas que puede hacer para disminuir el riesgo de ser atrapado, sin embargo.

Vídeo: CUANDO LA SEGURIDAD SE DUERME

La primera cosa que debe hacer es asegurarse de que está utilizando una habilidad de reproducción por clic en su navegador. Chrome tiene esta capacidad incorporada, Firefox tiene la popular extensión NoScript, y los usuarios de Safari puede instalar JS Blocker 5. Esto evitará cualquier script de carga, a menos que específicamente les dé permiso. No debería ser necesario para cargarlos en eBay, pero si lo hace, se les puede permitir que con un solo clic.

Muo-seguridad-js-bloqueante

Si habilita plugins, que tendrá que ser más vigilantes para asegurarse de que usted no está siendo aprovechado. Cada vez que usted está a punto de hacer clic en un Cómpralo ahora, Hacer oferta, o Oferta enlace en eBay, asegúrese de que la URL en el navegador es ebay.com, y no otra cosa. Si usted está siendo víctima del phishing, el dominio será algo distinto de ebay.com.

Si está utilizando una aplicación móvil de eBay, asegúrese de que compruebe la dirección URL de cualquier página vinculada, sobre todo si le está pidiendo información de acceso eBay. Y no descargue ningún otras aplicaciones! La aplicación eBay no se animará a descargar otra cosa. Como Brian Krebs, uno de los mejores bloggers de seguridad por ahí, dice en sus 3 reglas básicas para la seguridad online, si no ir en busca de ella, no instalarlo!

ebay-url-check-roja

Más allá de esto, es norma de seguridad material mercado en línea. Sólo se comunican a través de la página web, y no a través de correo electrónico, no importa qué. No haga clic en enlaces en correos electrónicos de eBay, sólo tiene que ir a ebay.com en caso de que el correo electrónico proviene de un estafador. Compruebe para ver si enlaces en el sitio son seguros antes de usarlos. Usar una contraseña segura, y cambiar con regularidad. Todos los “mantenerse a salvo” consejos regulares que compartimos todo el tiempo de aplicación, también.8 maneras de asegurarse de que un enlace es seguro antes de hacer clic en él8 maneras de asegurarse de que un enlace es seguro antes de hacer clic en élHipervínculos como todos sabemos, son los hilos que componen la web. Pero al igual que las arañas, la trampa web puede digital de los ingenuos. Incluso el más conocimientos entre nosotros haga clic en los enlaces que ...Lee mas

No se deje atrapar por esta estafa eBay Cross-Site Scripting

Cómo protegerse de estafas en eBay requiere un poco de vigilancia y un poco de prevención proactiva. Entre el uso de un navegador o la extensión de la escritura de bloqueo, en busca de direcciones URL sospechosas, y asegurarse de tener cuidado con las descargas extrañas o solicitudes, usted debe estar totalmente bien, incluso si eBay no soluciona esta vulnerabilidad (que probablemente no lo hará, Al menos un rato). Así que toma un par de pasos rápidos, y volver a ahorrando un montón de dinero por la compra en eBay!5 estafas eBay a tener en cuenta5 estafas eBay a tener en cuentaAl ser estafado chupa, sobre todo en eBay. Usted invierte todo ese tiempo en la venta de un producto en particular o que pasan mucho tiempo investigando el artículo perfecto, completar la transacción, y luego ... nada. Los...Lee mas

¿Tienda en eBay? ¿Su registro de la no-acción sobre las vulnerabilidades de seguridad que preocuparse? ¿Es menos probable que comprar allí porque no han respondido bien a la notificación de este fallo en particular? Compartir sus pensamientos abajo!

Artículos Relacionados