新聞類別
國際
詳情#
【明報專訊】拍賣網站eBay現保安漏洞,有用戶發現,部分拍賣頁面遭不法之徒動手腳,只要點擊頁面便會被轉送至有害網站,意圖騙取用戶的密碼等資料。
有eBay用戶透露,今年2月在eBay選購數碼相機時,點擊其中一件貨品的頁面連結後,便立即被轉送至另一頁面,要求他輸入eBay帳戶名稱及密碼。用戶向eBay支援人員通報,雖然有關連結此後已被刪除,但測試顯示,過去15天的拍賣頁面中最少仍有64個可疑頁面,均涉及跨網站指令碼(Cross-site scripting,簡稱XSS,指在網頁插入程式碼,令其他使用者在觀看網頁時受影響)漏洞,估計尚有數以百計「陷阱」存在。
點擊後轉至騙密碼網站
eBay發言人稱,有關漏洞並非新鮮事物,主要是由於網站容許賣家使用Javascript及Flash等編碼,令拍賣頁面的視覺效果更吸引。網站留意到有人濫用編碼作不當用途,強調有一系統保安措施偵測及移除有害編碼。不過有保安專家批評eBay反應不足,指出若發現XSS漏洞,應採取行動防止繼續被濫用,而非只移走連結了事。
(BBC)
有eBay用戶透露,今年2月在eBay選購數碼相機時,點擊其中一件貨品的頁面連結後,便立即被轉送至另一頁面,要求他輸入eBay帳戶名稱及密碼。用戶向eBay支援人員通報,雖然有關連結此後已被刪除,但測試顯示,過去15天的拍賣頁面中最少仍有64個可疑頁面,均涉及跨網站指令碼(Cross-site scripting,簡稱XSS,指在網頁插入程式碼,令其他使用者在觀看網頁時受影響)漏洞,估計尚有數以百計「陷阱」存在。
點擊後轉至騙密碼網站
eBay發言人稱,有關漏洞並非新鮮事物,主要是由於網站容許賣家使用Javascript及Flash等編碼,令拍賣頁面的視覺效果更吸引。網站留意到有人濫用編碼作不當用途,強調有一系統保安措施偵測及移除有害編碼。不過有保安專家批評eBay反應不足,指出若發現XSS漏洞,應採取行動防止繼續被濫用,而非只移走連結了事。
(BBC)
留言 (0)
