EBay는 별로 좋지 않은 보안 관행으로 명성이 높으며 조만간 개선되지 않을 것 같습니다. 최근에 노출된 보안 취약점으로 인해 일부 사용자가 위험에 처해 있으며 eBay는 완전한 수정 대신 부분적인 수정만 발표하기로 결정했습니다.
다음은 취약점에 대해 알아야 할 사항, 작동 방식 및 안전을 유지하는 방법입니다.
활성 콘텐츠, XSS 및 eBay 사기
문제의 특정 보안 취약점은 판매자가 광고에 삽입할 수 있는 "활성 콘텐츠"와 관련이 있습니다. 활성 콘텐츠는 다양한 기술을 사용하여 항목 설명을 더 흥미롭고 유용하게 만들 수 있습니다. 작은 Flash 앱, JavaScript 메뉴, 웹 설문 조사 또는 내장되고 상호 작용하는 기타 모든 것이 될 수 있습니다. 아래 사진의 광고에서 판매자로부터 다른 품목을 구매하도록 유도하는 "xsellgalleryscript"라는 스크립트가 있습니다.
대부분의 경우 활성 콘텐츠는 완전히 안전합니다. 약간 짜증나지만 안전합니다. 그러나 XSS(교차 사이트 스크립팅)를 사용하면 다른 사이트에 있는 스크립트를 eBay 페이지에 로드할 수 있으며 해당 스크립트는 무엇이든 될 수 있습니다. 이 스크립트는 맬웨어를 다운로드하거나 사용자 자격 증명을 피싱하거나 다른 종류를 생성할 수 있습니다. 혼란의. 물론 이 공격은 다소 흔한 공격이기 때문에 eBay는 이를 방지하기 위해 필터를 사용합니다.
불행히도 누군가가 길을 찾았습니다. JSF*ck라는 기술을 사용합니다. 이 기술은 []()!+라는 6자만 사용하여 자바스크립트 코드를 작성하는 매력적인 방법입니다. 대괄호 2개, 괄호 2개, 느낌표, 더하기 기호를 사용하여 모든 JavaScript 코드를 만들고 실행할 수 있습니다.
Brainf**k 프로그래밍 언어처럼 재미있는 연습입니다. 하지만 eBay의 필터를 사용하는 데도 사용할 수 있습니다.
Check Point라는 사이버 보안 회사는 이 취약점을 처음 보고했으며 데스크톱 사이트나 iOS 또는 Android 앱을 통해 악성코드를 다운로드하거나 사용자를 피싱 페이지로 리디렉션하여 실수로 사용자 자격 증명을 제공할 수 있다고 밝혔습니다. 다음은 실제 공격 동영상입니다.
Check Point는 이 취약점을 시연하고 2015년 12월 eBay에 보고했으며 악용을 방지하기 위해 소프트웨어를 업데이트할 것으로 예상했습니다. BBC에 따르면 eBay는 1월에 Check Point에 취약점을 수정할 계획이 없지만 2월에 부분 수정을 구현했다고 말했습니다. 왜 부분 수정만 합니까? eBay는 BBC에 "우리 시장에서 악성 콘텐츠가 매우 드물다는 것을 이해하는 것이 중요합니다."라고 말했습니다.
이러한 유형의 공격 위험이 극히 낮다는 eBay의 주장에도 불구하고 보안 회사 Netcraft는 잠재적 구매자의 이메일 주소를 피싱하고 가짜 에스크로 서비스를 통해 결제를 완료하도록 권장하는 데 이 공격이 활발히 사용되고 있다고 보고했습니다. 그리고 사기는 성공했습니다. Netcraft는 eBay, 경찰, 은행에서 도움을 줄 수 없다는 말을 듣고 화가 난 사용자의 도움 요청 스크린샷을 공유했습니다.
eBay의 XSS 취약점으로부터 자신을 보호하는 방법
eBay가 이 문제를 완전히 해결하지 않는 한 사기꾼이 손상시킨 목록에 부딪혀 자신을 위험에 빠뜨릴 수 있습니다. 하지만 적발될 위험을 줄이기 위해 할 수 있는 몇 가지 방법이 있습니다.
가장 먼저 해야 할 일은 브라우저에서 클릭 재생 기능을 사용하고 있는지 확인하는 것입니다. Chrome에는 이 기능이 내장되어 있고 Firefox에는 널리 사용되는 NoScript 확장 프로그램이 있으며 Safari 사용자는 JS Blocker 5를 설치할 수 있습니다. 이렇게 하면 특별히 권한을 부여하지 않는 한 스크립트가 로드되지 않습니다. eBay에서 로드할 필요는 없지만 로드할 경우 클릭 한 번으로 활성화할 수 있습니다.
플러그인을 활성화하면 이용당하지 않도록 각별히 주의해야 합니다. 지금 구매를 클릭하려고 할 때마다 , 제안하기 , 또는 입찰가 eBay에서 링크를 클릭하려면 브라우저의 URL이 다른 것이 아니라 ebay.com인지 확인하십시오. 피싱을 당했다면 도메인은 ebay.com이 아닌 다른 도메인이 됩니다.
eBay 모바일 앱을 사용하는 경우 특히 eBay 로그인 정보를 요청하는 경우 연결된 페이지의 URL을 다시 확인하십시오. 그리고 다른 앱을 다운로드하지 마십시오! eBay 앱은 다른 것을 다운로드하도록 권장하지 않습니다. 최고의 보안 블로거 중 한 명인 Brian Krebs가 자신의 온라인 안전을 위한 3가지 기본 규칙에서 말했듯이 찾아보지 않았다면 설치하지 마십시오!
이 외에도 표준 온라인 시장 안전 항목입니다. 무슨 일이 있어도 이메일이 아닌 웹사이트를 통해서만 의사 소통하십시오. eBay에서 보낸 이메일에 있는 링크를 클릭하지 말고 이메일이 사기꾼에게서 온 경우를 대비하여 ebay.com으로 이동하십시오. 사이트의 링크를 사용하기 전에 안전한지 확인하십시오. 강력한 암호를 사용하고 정기적으로 변경하십시오. 우리가 항상 공유하는 모든 "자신을 안전하게 지키십시오" 팁은 여기에도 적용됩니다.
이 eBay 교차 사이트 스크립팅 사기에 걸리지 마십시오.
eBay에서 사기로부터 자신을 보호하려면 약간의 경계와 사전 예방이 필요합니다. 스크립트 차단 브라우저나 확장 프로그램을 사용하고, 의심스러운 URL을 관찰하고, 이상한 다운로드나 요청을 확인하는 것 사이에서, eBay가 이 취약점을 수정하지 않더라도(아마도 해결하지 않을 가능성이 높더라도) 완전히 문제가 없을 것입니다. 적어도 잠시 동안). 따라서 몇 가지 빠른 단계를 수행하고 eBay에서 쇼핑하여 많은 돈을 절약할 수 있습니다.
이베이에서 쇼핑하시나요? 보안 취약점에 대한 조치를 취하지 않은 기록이 걱정스럽습니까? 그들이 이 특정 버그에 대한 보고에 잘 응답하지 않았기 때문에 그곳에서 쇼핑할 가능성이 낮습니까? 아래에서 생각을 공유하세요!