Lỗ hổng trên website eBay có thể khiến người dùng bị đánh cắp dữ liệu

Các nhà nghiên cứu hiện đang cảnh báo tới người dùng truy cập vào website eBay.com có thể bị mở ra một trang khác dẫn đến tấn công lừa đảo và đánh cắp dữ liệu.

Theo Roman Zaikin, một nhà nghiên cứu thuộc công ty Check Point, lỗ hổng tồn tại trên các trang có nền tảng bán hàng trực tuyến. Nếu tin tặc có thể lợi dụng nhằm bypass mã thẩm định và thực thi JavaScript độc hại thông qua trình duyệt web hoặc ứng dụng di động.

Check Point đã báo cáo lỗ hổng tới eBay vào 15/12 nhưng hơn hai tuần sau lỗ hổng vẫn chưa được vá. Zaikin có thể bị khai thác nếu tin tặc tạo ra một cửa hàng trên eBay và sử dụng một đoạn mã độc chèn vào phần mô tả của hàng hóa. Khi sử dụng một kiểu ngôn ngữ lập trình khác, eBay sẽ vô tình tải đoạn script độc hại từ máy chủ của tin tặc.

Ngôn ngữ lập trình đặc biệt được sử dụng tại đây là JSFuck, một phong cách lập trình không chuẩn. eBay giới hạn người dùng thêm vào script và iFrame trong phần mô tả bằng cách dùng bộ lọc HTML tag – nhưng lại cho phép JSFuck. Ngôn ngữ lập trình này được tạo ra một vài năm trước với tuyên bố là một phong cách lập trình “bí truyền với mục đích giáo dục” dựa trên một phần của JavaScript.

Do JSFuck chỉ sử dụng 6 kí tự khác nhau – []()!+ nên có thể bypass dễ dàng hệ thống phòng thủ của eBay. Hiện eBay khẳng định rằng chưa phát hiện thấy bất kì khai thác hay hoạt động trái phép nào liên quan đến lỗ hổng.

threatpost