Peter Holmes
0 
1102
9
EBay, yıldızlardan daha az güvenlik uygulamaları için bir üne sahiptir ve yakında yakın zamanda iyileşmeyecek gibi görünüyor. Son zamanlarda açığa çıkan bir güvenlik açığı, bazı kullanıcıları tehlikeye atıyor ve eBay, tam bir çözüm yerine yalnızca kısmi bir düzeltme yapmaya karar verdi..
İşte güvenlik açığı, nasıl çalıştığı ve nasıl güvende kalacağınız hakkında bilmeniz gerekenler.
Aktif İçerik, XSS ve eBay Dolandırıcılığı
Söz konusu özel güvenlik açığı şuna bağlı “aktif içerik,” hangi satıcılar reklamlarına katıştırılabilir. Aktif içerik, bir öğe tanımını daha ilginç veya kullanışlı hale getirmek için çeşitli farklı teknolojiler kullanabilir - küçük bir Flash uygulaması, JavaScript menüsü, web anketi veya katıştırılmış ve etkileşimli başka herhangi bir şey olabilir. Aşağıda gösterilen reklamda, bu bir komut dosyası “xsellgalleryscript” Bu satıcıdan diğer eşyaları satın almaya çalışır.
Çoğu durumda, aktif içerik tamamen güvenlidir. Hafif can sıkıcı, ama güvenli. Bununla birlikte, siteler arası komut dosyası çalıştırma (XSS) Siteler Arası Komut Dosyası Çalıştırma (XSS) ve Neden Bir Güvenlik Tehdidi Siteler Arası Kod Yazma İşlemi (XSS) & Neden Bir Güvenlik Tehdidi? Siteler arası komut dosyası çalıştırma güvenlik açıkları en büyüğüdür bugün web sitesi güvenlik sorunu. Çalışmalar, şok edici derecede yaygın olduklarını tespit etti - web sitelerinin% 55'i, 2011'de XSS açıklarını içeriyordu, White Hat Security'nin Haziran ayında yayınlanan en son rapora göre… başka bir siteye yerleştirilen bir komut dosyası bir eBay sayfasına yüklenebilir ve bu komut dosyası herhangi bir şey olabilir - kötü amaçlı yazılım indirebilir, kullanıcı bilgilerinizi phishing yapmaya çalışabilir veya başka tür kargaşa yaratabilir. Elbette, bu saldırı oldukça yaygın bir durum olduğundan, eBay engellemeye çalışan filtreler kullanıyor.
Ne yazık ki, birisi bir yolunu buldu. Sadece altı karakter kullanarak JavaScript kodu yazmak için büyüleyici bir yöntem olan JSF * ck adında bir teknik kullanır: [] ()! +. İki parantez, iki parantez, bir ünlem işareti ve bir artı işareti ile herhangi bir JavaScript kodu oluşturabilir ve çalıştırabilirsiniz..
Brainf ** k programlama dili gibi eğlenceli bir alıştırma. 10 Muhtemelen Asla Duymadığınız 10 Programlama Dilini Muhtemelen Hiç Duymadığınız 10 Programlama Dili Bilgisayarla iletişim bilimine sadık kalın. Sen gidiyorsun… . Ancak, eBay'in filtreleriyle almak için de kullanılabilir..
Check Point adlı bir siber güvenlik şirketi bu güvenlik açığını ilk olarak bildirmiştir ve masaüstü sitesinde veya iOS veya Android uygulamaları aracılığıyla kötü amaçlı yazılım indirmek veya kullanıcıları yanlışlıkla kullanıcı kimlik bilgilerini verebilecekleri kimlik avı sayfalarına yönlendirmek için kullanabileceğini belirtmiştir. İşte eylemde bulunan bir saldırının videosu:
Check Point, bu güvenlik açığını Aralık 2015’te eBay’e bildirerek istismarın önlenmesi için yazılımlarını güncellemelerini beklediklerini bildirdi. BBC’ye göre, eBay Ocak’ta Check Point’e güvenlik açığını gidermeye yönelik planları olmadığını ancak Şubat ayında kısmi bir düzeltme yaptıklarını söyledi. Neden sadece kısmi bir düzeltme? “[I] pazarlamamızda kötü niyetli içeriğin olağanüstü nadir olduğunu anlamak önemlidir,” eBay BBC'ye söyledi.
EBay'in bu tür saldırı riskinin aşırı düşük olduğuna dair ısrarına rağmen, güvenlik firması Netcraft, potansiyel alıcıların e-posta adreslerini kimlik avı yapmak için aktif olarak kullanıldığını bildirdi. Kimlik Avı ve Dolandırıcılık Nedir? Kimlik Avı Tam Olarak Nedir ve Dolandırıcılar Hangi Teknikleri Kullanıyor? Ben kendim olta tutkunu olmamıştım. Bu çoğunlukla, kuzenimin zip yakalarken iki balık yakalamayı başardığı erken bir sefer yüzünden. Gerçek hayattaki balık avına benzer şekilde, kimlik avı dolandırıcılığı… değildir ve ödemeleri sahte bir emanet hizmeti aracılığıyla tamamlamaları için teşvik eder. Ve aldatmaca çalıştı - Netcraft üzgün bir kullanıcının dilekçesini paylaştı, eBay, polis ve bankası tarafından kendisine yardım edemediklerini söyledi..
EBay'deki Kendinizi XSS Güvenlik Açığından Nasıl Korursunuz?
EBay bu sorunu tam olarak çözemediği sürece, bir dolandırıcıların tehlikeye attığı ve risk altında kaldığı bir listeye girme şansınız var. Ancak, yakalanma riskinizi azaltmak için yapabileceğiniz birkaç şey var..
Yapmanız gereken ilk şey, tarayıcınızda bir tıkla oynat özelliğini kullandığınızdan emin olun. Chrome'un yerleşik bir yeteneği vardır, Firefox popüler NoScript uzantısına sahiptir ve Safari kullanıcıları JS Blocker 5'i yükleyebilir. Bu, özellikle izin vermediğiniz sürece, komut dosyalarının yüklenmesini önler. Bunları eBay'e yüklemeniz gerekmez, ancak yaparsanız, onları tek bir tıklamayla etkinleştirebilirsiniz.
Eklentileri etkinleştirirseniz, faydalanmadığınızdan emin olmak için ekstra dikkatli olmanız gerekir. Ne zaman tıklamak üzeresiniz Şimdi satın al, Teklif yap, veya Teklif eBay’deki bağlantıda, tarayıcınızdaki URL’nin ebay.com olduğundan ve başka bir şey olmadığından emin olun. Kimlik avı yapıyorsanız, etki alanı ebay.com'dan başka bir şey olacaktır..
Bir eBay mobil uygulaması kullanıyorsanız, özellikle sizden eBay giriş bilgilerini soruyorsa, bağlı herhangi bir sayfanın URL'sini iki kez kontrol ettiğinizden emin olun. Ve başka uygulamalar indirmeyin! EBay uygulaması başka bir şey indirmenizi teşvik etmeyecektir. Dışarıdaki en iyi güvenlik bloglarından olan Brian Krebs'in, Çevrimiçi Güvenlik için 3 Temel Kuralında, aramaya devam etmediyseniz, yüklemeyin.!
Bunun ötesinde, standart çevrimiçi pazar güvenliği konularında. Ne olursa olsun, yalnızca web sitesi aracılığıyla iletişim kurun ve e-posta yoluyla iletmeyin. EBay'den gelen e-postalardaki bağlantıları tıklamayın, e-posta dolandırıcılardan gelmesi durumunda ebay.com adresine gidin. Sitedeki bağlantıların güvenli olup olmadığını kontrol edin 8 Bağlantıyı Güvenli Hale Getirmenin 8 Yolu Tıklamanızdan Önce Güvenli Kılmanın 8 Yolu Güvenli Kılmadan Önce Tıklayın Köprüler Hepimizin web'i oluşturan iplikler olduğunu biliyoruz. Ancak, tıpkı örümcekler gibi, dijital web de şüphesizleri hapsedebilir. Aramızda daha bilgili olanlar bile, kullanmadan önce… bağlantılarını tıklayın. Güçlü bir şifre kullanın Kişiliğinize uygun güçlü şifreler nasıl üretilir Kişisel bir kişiyle eşleşen Güçlü şifreler nasıl üretilir? Güçlü bir şifre olmadan hızlı bir şekilde siber suç alanın sonunda kendinizi bulabilirsiniz. Unutulmaz bir şifre oluşturmanın bir yolu, kişiliğinizle eşleştirmek olabilir. ve düzenli olarak değiştirin. Tüm düzenli “güvende ol” Her zaman paylaştığımız ipuçları burada da geçerlidir.
Bu eBay Siteler Arası Scripting Scam Tarafından Yakalanmayın
EBay'de kendinizi dolandırıcılığa karşı korumak 10 eBay Özellikle eBay'de dolandırıcılığı berbat olmak için 10 eBay Dolandırıcılığından haberdar olmak için 10 eBay Dolandırıcılığı aldatmaca. İşte bilmeniz gereken en yaygın eBay dolandırıcılığı ve bunlardan nasıl kaçınacağınız. biraz dikkat ve biraz proaktif önleme gerektirir. Komut dosyası engelleyen bir tarayıcı veya uzantı kullanmak, şüpheli URL'leri izlemek ve garip indirmelere veya isteklere dikkat ettiğinizden emin olmak arasında, eBay bu güvenlik açığını çözmese de (muhtemelen en azından bir süreliğine). Birkaç hızlı adım atın ve eBay'de alışveriş yaparak tonlarca tasarruf sağlayın. EBay'de Alışveriş Yapmak için 10 İpucu Bir Boss gibi Alışveriş Yapmak İçin 10 İpucu eBay'de Alışveriş Yapmak için 10 İpucu Bir Boss gibi Alışveriş Yapın Bu 10 eBay ipucu, arama ve tekliflerinizi optimize etmenize yardımcı olur Aradığınız eşyalarda size çok para kazandırır. !
EBay'de alışveriş yapıyor musunuz? Güvenlik açıkları konusundaki eylemsizlik kayıtları size endişe ediyor mu? Orada alışveriş yapma olasılığınız daha düşük, çünkü bu hatanın rapor edilmesine iyi cevap vermediler? Düşüncelerinizi aşağıda paylaşın!
Image Credits: Shutterstock ile Photosani tarafından korsan