盗墓笔记小说下载,玄幻小说排行榜完本

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

一大撥漏洞來襲eBay的黑色星期五

寫在前面：

訥河ssl適用于網(wǎng)站、小程序/APP、API接口等需要進(jìn)行數(shù)據(jù)傳輸應(yīng)用場(chǎng)景，ssl證書未來市場(chǎng)廣闊！成為創(chuàng)新互聯(lián)的ssl證書銷售渠道，可以享受市場(chǎng)價(jià)格4-6折優(yōu)惠！如果有意向歡迎電話聯(lián)系或者加微信：028-86922220（備注：SSL證書合作）期待與您的合作！

eBay沒有保護(hù)好自己用戶的數(shù)據(jù)，在之前他也犯過類似的錯(cuò)誤，但是這次顯然eBay的安全團(tuán)隊(duì)沒有吸取到前車之鑒。這次他們同樣要為自己對(duì)安全的消極態(tài)度買單。

正文：

在不到36小時(shí)之內(nèi)，eBAY就再次報(bào)出了3個(gè)高危的，能夠?qū)е掠脩魯?shù)據(jù)泄露的漏洞。即使你在最后一次安全通告之后修改了密碼，你的賬號(hào)依舊存在風(fēng)險(xiǎn)。

5月22號(hào)，eBAY承認(rèn)了海量數(shù)據(jù)的泄露，大約有14500萬來自世界各地用戶的賬戶信息遭到了泄漏。產(chǎn)生這個(gè)問題的原因是eBAY的基礎(chǔ)架構(gòu)存在漏洞。

5月23號(hào)的早晨一定是，eBAY安全工程師最頭疼的一個(gè)早上，因?yàn)樗麄円幚砣齻€(gè)截然不同的

高危漏洞，這三個(gè)漏洞都會(huì)把14500萬的賬戶信息暴漏在風(fēng)險(xiǎn)之中。

HACKER UPLOADED SHELL ON eBAY SERVER

這是一個(gè)上傳漏洞，由Jordan Jones發(fā)現(xiàn)。這個(gè)漏洞可以導(dǎo)致員工賬號(hào)能上傳一個(gè)webshell。

Jordan在twitter上報(bào)告了這個(gè)漏洞，并且附帶了一個(gè)webshell的截圖作為POC。

現(xiàn)在這個(gè)文件的確是存在于eBAY的web服務(wù)器上，

https://dsl.ebay.com/wp-includes/Text/Diff/Engine/shell.php

只不過內(nèi)容被修改為空白。

在blog上Jordan也同時(shí)貼出了labs.ebay.com的一些跨站漏洞。

PERSISTENT XSS VULNERABILITY ON eBAY

Michael E 一個(gè)來自德國的安全研究員向Hacker News報(bào)告了他發(fā)現(xiàn)的一個(gè)，eBAY上的存儲(chǔ)型xss漏洞。

當(dāng)用戶訪問攻擊者構(gòu)造的頁面時(shí)，惡意的js代碼就會(huì)執(zhí)行，劫持你的賬號(hào)。

下面是POC頁面。

http://www.ebay.de/itm/script-script-alert-1-script-x-onfocus-alert-1-autofocus-onl-/281257333177

COOKIE RE-USE VULNERABILITY

另外，eBay的登陸cookie可以被重復(fù)使用，即使用戶登出或者修改密碼。這個(gè)漏洞可以和上一個(gè)XSS漏洞配合使用。

ACCOUNT HIJACKING VULNERABILITY (CRITICAL AND UNPATCHED)

一個(gè)埃及安全研究者Yasser H. Ali，發(fā)現(xiàn)了一個(gè)可以造成用戶劫持的漏洞。不過遺憾的是，我們還不能公布細(xì)節(jié)。Yasser給我們了詳細(xì)的POC，我們也把這個(gè)漏洞報(bào)告給了eBay，在eBay將這個(gè)漏洞處理好之后我們才會(huì)放出相關(guān)細(xì)節(jié)。

eBAY #FAILURE

當(dāng)前題目：一大撥漏洞來襲eBay的黑色星期五
網(wǎng)站地址：http://m.fisionsoft.com.cn/article/dpcogsp.html

新聞中心

其他資訊