Aukcje.org
Aukcje internetowe w Polsce i na świecie
…a eBay?
Podobno miałem rację - luka w Allegro, o której napisałem ponad rok temu nie została do końca załatana. To o czym media na razie milczą, to kwestia występowania dokładnie takiej samej luki bezpieczeństwa (a właściwie sporej grupy luk) w eBay.com oraz pod-serwisach narodowych.
W marcu ubiegłego roku spotkałem się z osobą upoważnioną do rozmów na temat luki bezpieczeństwa w serwisie eBay. Osobą tą był Emil Podlaszewski, ex-pracownik Allegro.pl (heh.. świat jest mały). W rozmowie przez krótką chwilę uczestniczył także Przemek Pluta.O treści rozmowy - jeszcze tego samego dnia - miała zostać poinformowana amerykańska centrala. Miały do niej trafić także opisy, które przygotowałem.
Nie wiem czy to nastąpiło. Do dziś eBay ma dokładnie te same, opisane w kwietniu 2006 dziury.
Zespół Allegro został wzmocniony o przynajmniej jednego, znanego mi fachowca od wykrywania luk XSS i CSRF. To nie wyczerpało tematu, bo początkiem kłopotów Allegro, eBay i innych serwisów jest zbyt tolerancyjne przyjmowanie treści od użytkowników. Ostatni przykład nadużycia dowodzi, że wystarczy zezwolenie na zamieszczanie ilustracji spoza serwisu oraz kilka definicji CSS, aby zrobiło się gorąco.
W eBay przechodzi tymczasem znacznie więcej elementów: Java Script, Flash, style CSS, formularze i co tylko sobie można wyobrazić. eBay jest bezbronny jak dziecko…
Zobacz:
Poprzedni news: Nonsensopedia o Allegro.pl
Następny news: „Podziel się swoją historią” - a może być o kolejnej luce?
- Euro Tax przeprowadza zwroty podatku.
- e-lady w pierwszej trójce największych sklepów internetowych z bielizną w Polsce!
- Ceneo.pl - serwis porównujący ceny tego samego produktu w wielu sklepach internetowych
- Hewlett-Packard - Największy wybór sprzętu komputerowego
- Pracuj.pl: blisko 12 000 ofert pracy z Polski i zagranicy.
Partnerzy:
RSS | RSS komentarzy | Kontakt | O stronie | Polityka prywatności
Copyright © Jacek Z. Strzembkowski - wszelkie prawa zastrzeżone
# Hello — 6/7/2007 @ 11:12:
Zastanawia mnie tylko, dlaczego to nie zostało wykryte przed wprowadzeniem aplikacji do publicznego użytku. To powinna być jedna z pierwszych rzeczy, jakie należy sprawdzić…
# Jacek Z. Strzembkowski — 6/7/2007 @ 11:55:
Z prostej przyczyny: eBay powstał przed CSS 2.0.
Napisz komentarz:
Opcja komentowania dla tego artykułu została wyłączona.