白帽子黑客Aditya Sood在eBay中发现两个漏洞,允许攻击者上传恶意内容,并通过直接链接将其发送给受害者。
Sood表示eBay服务器没能完成被上传至服务器中图片信息的头信息安全检查。攻击者可上传伪装成图片文件的恶意exe文件,然后在路过式下载攻 击中利用这个URL。eBay未能检查被上传的图片文件,说明攻击者可将恶意软件隐藏在图片文件中。或者,攻击者也可以将恶意可执行文件隐藏在图片文件 中,当图片文件被打开时,就可在终端用户系统中执行。
目前尚不得知eBay是否按照PayPal漏洞奖励计划送出现金奖励。eBay曾在去年12月份因恶意跨站请求伪造漏洞而支付了1万美元。一旦受害者点击一个精心编制的连接,该漏洞就会导致账户信息被劫持。