Серьезная уязвимость в онлайн-платформе eBay была обнаружена исследователями из Check Point. С ее помощью хакер может обойти фильтры eBay, задачей которых является проверка кода. Для этого необходимо открыть легитимную страницу и внести вредоносный JavaScript-код в поле описания товара.
Специалист Check Point Роман Заикин в конце минувшего года проинформировал сотрудников eBay об уязвимости, но администрация платформы не будет принимать меры по ее устранению.
Обход фильтров осуществляется с помощью метода JSF**k, разработанного Мартином Клеппе. В рамках данной техники применяется код, который состоит из 6 символов: [ ] ( ) ! +. Используя данный метод, хакеры могут без труда внедрять в поле описания продукта на eBay вредоносный код. Применение плавающих фреймов iFrame или HTML-тегов на страницах платформы eBay запрещено. Но благодаря JSF**k хакер может разработать код для загрузки дополнительного JS-сценария с сервера, находящегося под контролем злоумышленника.
Посетитель поддельной страницы может стать жертвой фишинговой кампании или кражи информации. Фальшивая eBay-страница содержит предложение загрузить мобильное приложение по специальной скидке. Если пользователь подтвердит скачивание, то на его устройство будет загружено вредоносное программное обеспечение.