JSF eBay XSS Bug sobreexplotadas en la naturaleza, Fix A pesar de la Compañía

El JSF error XSS que la firma de seguridad cibernética Check Point descubrió hace dos semanas está siendo utilizado en los ataques del mundo real en la plataforma de eBay, a pesar de los mejores esfuerzos de eBay en tenerlo neutralizado.
JSF es un proyecto educativo comenzó hace unos años por Martin Kleppe, que logró reducir la mayor parte de la sintaxis de JavaScript a una combinación de seis caracteres: [,], (,),! y +.

Verificar los investigadores de seguridad Point descubrieron que cuando la creación de una tienda en eBay, un atacante podría ocultar su código malicioso mediante la conversión de la sintaxis común de JavaScript en la que utiliza JSF , y luego insertarlo en el campo de descripción del producto."JSF  errores de XSS son difíciles de detectar y bloquear"
Debido a JSF  juego de caracteres no estándar 's, este código envuelta pasado a través de filtros XSS de eBay y quedarán almacenados en la descripción del producto. Cada vez que los usuarios podrían acceder a una página de producto que tenía el código malicioso oculto en su descripción, el código se ejecutaría en su navegador, justo en la tienda de eBay.
Desde el ataque fue lanzado el dominio principal de eBay, y la mayoría de los usuarios probablemente habría llegado allí desde los resultados de búsqueda o haciendo clic en los enlaces reales de eBay.com, la mayoría de ellos han tenido la guardia, y serían susceptibles a los ataques de phishing."Parche de eBay era insuficiente"
Aunque en un principio se negó eBay para solucionar el problema, pocos días después, la compañía cedió a la presión de la comunidad infosec e implementan una solución parcial.
De acuerdo a la seguridad y vigilancia firma Netcraft, esta corrección parcial no fue efectiva, y han observado casos del mundo real en el que el JSF  ataque fue utilizada contra los visitantes tienda eBay.
Netcraft dice que la mayoría de los hackers están utilizando cuentas de usuarios comprometidos para crear la lista de productos malicioso, sobre todo para los vehículos. Todas estas cuentas pertenecen a los usuarios de eBay viejos, haciendo que el ataque sea aún más difícil de detectar, ya que estos usuarios tienen legítimas actividades asociadas a su perfil."Curiosamente, los ladrones emplean JSF  no están robando contraseñas de eBay"
"No sólo se trata más bien lanzó hábilmente desde el sitio legítimo de eBay, y utiliza los archivos con nombre aleatorio que se eliminan para evitar la detección, sino que también trata de evitar dejar ninguna evidencia en los registros del servidor de eBay", los investigadores Netcraft observaron acerca de esta campaña más reciente que emplea JSF .
Además, esta campaña de phishing sólo se roba dirección de correo electrónico del usuario, y no su contraseña. Esto se debe a que los ladrones están usando el interés del usuario en el producto de eBay (por lo general un coche) y su dirección para enviar al usuario un correo electrónico con un enlace de pago a través de un servicio de custodia.
El servicio es una farsa obvia, y si el cliente cae para el mensaje e inicia un pago, los ladrones se mantendrá todo el dinero, defraudar al usuario de eBay.