eBay出現跨站攻擊漏洞，用戶可能被導向釣魚網站

BBC及資訊安全網站Graham Cluley報導，eBay出現跨站描述語言（cross-site scripting, XSS）漏洞，可能使點入拍賣商品連結的用戶被導向釣魚網站。

Graham Cluley網站報導，eBay用戶，同時也是IT顧問的Paul Kerr在eBay上搜尋iPhone 5S拍賣商品的連結後發現自己被導向與eBay登入頁面幾乎一樣的外部網頁，要求輸入信箱帳號及密碼。Cluley指出，eBay 的XSS漏洞讓駭客得以在產品頁面上植入一段惡意程式碼，讓使用者點入後自動被導引到外部網頁。若一經取得帳密，可能讓駭客取得任何想要的用戶資訊。

Kerr立即向eBay客服人員反映，但eBay一直沒行動，直到BBC記者主動聯絡該公司，才移除該連結，距離用戶通報已過了超過12小時。

eBay已移除部份連結，並對媒體表示，這只是個案。不過BBC報導指出，經過簡單搜尋，15天之內的刊登物件中即可找到64個有類似行為的物件連結。

媒體引述eBay發言人指出，這問題和eBay允許用戶在網站上使用JavaScript和Flash等動態內容有關，許多賣家喜歡用JavaScript和Flash使其物件更吸引人，公司注意到這類動態內容有濫用之虞。但eBay不允許跨網站描述語言，而且eBay有各種安全措施可以偵測並移除含有惡意程式碼的商品連結。後來eBay又透過媒體表示，網路罪犯刻意修改程式碼和入侵技巧，以規避最嚴密的安全系統。

Graham Cluley報導指出，eBay XSS漏洞可能二月開始即已存在。事實上，近年eBay已多次傳出有XSS和其他漏洞，最近的一次是五月。（編譯/林妍溱）

↓　Graham Cluley以影片展示eBay的跨站網釣攻擊。在eBay上點選某個iPhone 5s的連結之後，即被導引到一個假冒eBay登入畫面的網頁。