Ernstig XSS-lek aangetroffen in website van eBay

Een ernstige beveiligingslek is aangetroffen in eBay. Het gaat om een Cross-Site Scripting (XSS) kwetsbaarheid waarmee cybercriminelen hun eigen malafide code in de website van eBay konden injecteren. Hiermee konden aanvallers bezoekers van de legitieme website van eBay een malafide inlogscherm voorschotelen in een poging inloggegevens buit te maken.

De kwetsbaarheid is ontdekt door een beveiligingsonderzoeker die zichzelf MLT noemt. In een blogpost demonstreert de onderzoeker dat de aanval relatief eenvoudig kon worden uitgevoerd. Ondanks de eenvoud gaat het om een ernstige kwetsbaarheid waarmee aanvallers de hand zouden kunnen leggen op de inloggegevens van miljoenen eBay gebruikers.

Malafide webpagina als iFrame injecteren

Om een aanval via het XSS-lek op te zetten host een aanvaller een malafide inlogpagina op een server. Vervolgens injecteert de aanvaller deze webpagina via het lek als iFrame in de legitieme website van eBay. De malafide inlogpagina verschijnt hierdoor op de site van eBay, zonder dat nietsvermoedende gebruikers de kwaadaardige bedoelingen van hun inlogscherm kunnen herkennen. In de onderstaande video wordt de werking van de aanval gedemonstreerd.

Daadwerkelijk inloggen via het iFrame is overigens niet mogelijk. Zodra een gebruiker zijn inloggegevens invoert in het scherm en op ‘Sign in’ klikt verschijnt een foutmelding. De ingevoerde gegevens vallen hiermee echter wel in handen van de aanvaller.

Niet direct verholpen

MLT stelt het probleem op 11 december te hebben gemeld bij eBay. Na een eerste reactie op de bevindingen zou eBay echter niet meer hebben gereageerd op de berichten van de onderzoeker, zonder het probleem te verhelpen. Nadat het lek naar buiten was gebracht en media bij eBay om ophelderingen vroegen heeft het bedrijf echter alsnog het lek gedicht.

Meer over
Lees ook
Kaspersky Lab onthult kwetsbaarheid in Microsoft Windows software

Kaspersky Lab onthult kwetsbaarheid in Microsoft Windows software

Kaspersky Lab heeft voor de vierde maal een beveiligingslek in Microsoft Windows ontdekt. Het beveiligingslek is vermoedelijk gebruikt door ten minste twee bedreigingsactoren, waaronder de onlangs ontdekte SandCat. Kaspersky Lab heeft het lek, genaamd CVE-2019-0797, bij Microsoft gemeld. Microsoft heeft inmiddels een patch vrijgegeven.  De nieuwe1

Nieuwe kwetsbaarheid in DevOps ontdekt: CyberArk Labs vindt container escape-route via kernel

Nieuwe kwetsbaarheid in DevOps ontdekt: CyberArk Labs vindt container escape-route via kernel

CyberArk Labs heeft ontdekt hoe aanvallers zogeheten defense-in-depth strategieën voor containers kunnen manipuleren om zo bij gevoelige informatie te komen. Het gepubliceerde rapport is de meeste recente vondst in een langer lopend onderzoek door CyberArk Labs naar hoe aanvallers bestaande kwetsbaarheden kunnen inzetten om container-beveiliging t1

Ernstige kwetsbaarheid ontdekt in PHPMailer

Ernstige kwetsbaarheid ontdekt in PHPMailer

PHPMailer blijkt een ernstige kwetsbaarheid te bevatten die aanvallers de mogelijkheid geeft op afstand eigen code uit te voeren op systemen. PHPMailer wordt onder andere in WordPress, Drupal, 1CRM, SugarCRM, Yii en Joomla gebruikt. PHPMailer is een populaire PHP library voor het versturen van e-mail. Wereldwijd wordt de library naar schatting doo1