eBay跨站点伪造请求漏洞可控制用户帐号

专家发现易趣网正在修复跨站点伪造请求漏洞，同时还发现易趣网曾存在跨站点脚本漏洞和盲目的SQL注入bug。

易趣正在修复跨站点伪造请求的问题,改漏洞可能允许攻击者改变用户的密码从而进入用户的帐户。

据易趣的全球信息安全高级主管Greene称，易趣公司目前正在对改跨站点伪造请求漏洞CSRF（cross-site request forgery）对主站造成的潜在影响进行评估，之后会在未来三周的时间内做出如何处理这种情况的决定。

Greene表示CSRF的性质就决定了不可能对所以的情形使用相同的修复，否则可能会推出影响用户正常使用功能的漏洞修复。
根据研究者的测试，CSRF如果被攻击者开发利用，可能导致攻击者完全控制用户的帐号。攻击者能够更改用户密码是因为用户易趣帐号原始电话和个人信息详情都在攻击者控制之下，攻击者可以修改密码安全问答，然后通过"遗忘密码"的方式来改变密码。

Greene在接受采访是称用户可以向易趣安全中心发送任何安全问题报告，易趣网络工作研究社区成员目前还未发现漏洞攻击。

未经允许不得转载：DOIT » eBay跨站点伪造请求漏洞可控制用户帐号