绿盟安全月刊->第30期->安全新闻 无力修补安全漏洞 ebay门洞大开

出处：eNet硅谷动力
日期：2002-04-12

【eNews消息】

　　上周来自加拿大的一位安全专家发现了ebay的这一安全漏洞，据这位专家分析，攻击者利用这一缺陷可以修改任何一位ebay客户的口令，从而进入拍卖系统，修改用户的拍卖和于竞价信息，而且攻击者不需要任何特殊的软件和技巧。

　　这一安全漏洞是在周五被发现的，当时Ebay　发言人表示，公司在1月份就发现了这一问题，并计划于今年夏季前修复这一漏洞。这位发言人声称，“在线拍卖是ebay的主要业务，它对于公司来说非常主要。如果我们的工程师已经有了解决方案，这一漏洞也不会留到现在了。”

　　为了防止攻击者欺诈行为，Ebay采取了电子邮件证实的方式：如果用户更改了其口令，ebay会自动发送一份电子邮件通知到用户，该邮件中包含了登陆系统的计算机IP地址信息。

　　来自计算机安全公司Neohapsis的安全主管格雷格.希普利表示,　修复Ebay的这一安全漏洞的确有一定的难度。但是，他对ebay采取电子邮件进行口令更改的方式表示吃惊，认为这并非长久之宜。 (无影)