近日，在e-Bay網(wǎng)站出現(xiàn)的一個(gè)嚴(yán)重的漏洞，該漏洞為惡意黑客分子通過創(chuàng)建假的登錄界面的方式來盜取用戶密碼和電子票據(jù)等資料提供了可乘之機(jī)。

12月初，一位獨(dú)立安全研究員發(fā)現(xiàn)了該漏洞，并在12月11號將該情況向e-Bay網(wǎng)站做了匯報(bào)。在得到了首次答復(fù)之后，第二天該研究員想繼續(xù)跟進(jìn)，獲得更多關(guān)于該漏洞的最新情況時(shí)，e-Bay卻不再對研究員的電子郵件進(jìn)行回復(fù)。直到上周，Motherboard聯(lián)系eBay詢問情況時(shí)，他們都還沒對該漏洞進(jìn)行修復(fù)。

“任何人都可以利用該漏洞入侵e-Bay網(wǎng)的個(gè)人用戶，從而可以控制他們的賬戶，同時(shí)通過給e-Bay上百萬甚至上千萬的用戶發(fā)送精心打造的釣魚電子郵件，來騙取電子票據(jù)，盜取數(shù)額巨大的用戶資金。”該名叫做MLT的研究員說道。

當(dāng)我在MLT所做的釣魚網(wǎng)站上輸入自己的用戶名和密碼，點(diǎn)擊登錄時(shí)，網(wǎng)站會(huì)彈出一個(gè)頁面，顯示登錄錯(cuò)誤。與此同時(shí)，他盜取了我的用戶憑證。他正是利用了一個(gè)叫做cross-ing的技術(shù)漏洞，來制造了這個(gè)釣魚頁面。（MLT同時(shí)指出在YouTube的視頻中也存在著漏洞）。

這是一種常見的網(wǎng)頁漏洞，即人們所熟知的XSS（跨站腳本攻擊：惡意攻擊者往Web頁面里插入惡意代碼，當(dāng)用戶瀏覽該頁時(shí)，嵌入其中Web里面的代碼會(huì)被執(zhí)行，從而達(dá)到惡意攻擊用戶的特殊目的。）過去，很多網(wǎng)站都曾遭受到XSS攻擊。這其中最著名的案列應(yīng)該就是Samy Kamkar的攻擊實(shí)例了。Samy Kamkar，一個(gè)在當(dāng)時(shí)只有十多歲的孩子，利用社交網(wǎng)絡(luò)上存在的XSS漏洞，他制造了一種能夠自我復(fù)制的蠕蟲病毒，感染了超過100萬的MySpace用戶，使他們自動(dòng)成為他的好友。在這之后，Kamkar被判入獄3年。以上就是這名傳奇黑客的事跡。當(dāng)然，現(xiàn)在他已經(jīng)成為一名眾所周知的安全研究員了。這一事件，將Kamkar永遠(yuǎn)地被釘在了法律的十字架上，徹底地改變了互聯(lián)網(wǎng)的發(fā)展史。從那時(shí)起，所有網(wǎng)站不得不認(rèn)真對待XSS漏洞。

去年，e-Bay公司就已經(jīng)發(fā)現(xiàn)了在自己的網(wǎng)站上存在著危險(xiǎn)的XSS漏洞，并且也花了一年的時(shí)間來解決問題。

“他們已經(jīng)沒有必要去找任何的借口，來掩飾自己的關(guān)鍵領(lǐng)域正遭受XSS漏洞的威脅這一事實(shí)”MLT和我在一個(gè)加密軟件上聊天時(shí)說道，“現(xiàn)在進(jìn)入2016年了，我們已經(jīng)掌握了許多技術(shù)來預(yù)防XSS的攻擊。在過去，許多網(wǎng)站都存在XSS漏洞。Facebook就是其中之一。但現(xiàn)在黑客想要在Facebook找出一個(gè)XSS漏洞來進(jìn)行攻擊已經(jīng)變得極其困難，因?yàn)镕acebook網(wǎng)站工程師們已經(jīng)找到正確的措施來維護(hù)網(wǎng)站的安全。我所不能理解的是，為什么e-Bay還在走過去的老路，沒對網(wǎng)站的維護(hù)做出任何的改進(jìn)。”

他補(bǔ)充說道，“他們不應(yīng)該允許任何人進(jìn)行鏈接重定向來定位到Java。”

一位安全分析師指出，該XSS漏洞確實(shí)存在，但MLT的這種做法就有點(diǎn)嘩眾取寵的意味了。另一位安全專家，High-Tech Bridge公司的創(chuàng)始人及CEO，Ilia Kolochenko，說道，現(xiàn)在Web應(yīng)用程序仍然容易受到XSS漏洞威脅，已經(jīng)不足為奇了。建立一個(gè)完整的網(wǎng)站體系，列出存在隱患的網(wǎng)站，找到相應(yīng)措施對其進(jìn)行維護(hù)，這才是我們所需要做的。

上周，e-Bay公司發(fā)言人，Ryan Moore表示，公司將會(huì)致力于為世界各地?cái)?shù)百萬的e-Bay用戶創(chuàng)造一個(gè)安全可靠的市場環(huán)境，同時(shí)公司還會(huì)采取措施盡快修復(fù)該漏洞，確保用戶數(shù)據(jù)安全。Moore同時(shí)還對MLT的回應(yīng)事件作出了解釋，他說，這其中存在著誤會(huì)，因?yàn)镸LT在最初報(bào)告漏洞情況時(shí)，使用了不同的電子郵件名，讓我們誤以為是黑客所為。

周一時(shí)候，MLT告知Motherboard公司，經(jīng)過他的測試證實(shí)，該bug已經(jīng)被修復(fù)。之后，e-Bay發(fā)聲明說，該bug已經(jīng)修復(fù)。同時(shí)，還要表示對MLT和一些友好黑客關(guān)于網(wǎng)頁頁面bug報(bào)告的感謝。

不是所有人都會(huì)對這一漏洞進(jìn)行深入的研究。MLT首先發(fā)現(xiàn)這一bug，當(dāng)然，也可能會(huì)是其他人發(fā)現(xiàn)，但問題就在于，其他人很可能就會(huì)利用這一漏洞進(jìn)行惡意攻擊，而MLT卻不會(huì)。作為一個(gè)網(wǎng)站用戶，養(yǎng)成良好的習(xí)慣，謹(jǐn)慎對待突然彈出的電子郵件鏈接，時(shí)常檢查所要訪問的URL是否正確，這是非常重要的。如果一旦發(fā)現(xiàn)有什么異常，這很有可能就是一個(gè)騙局在等著你，必須提高警惕。