kleine Sicherheitslücke auf eBay Kleinanzeigen

Solltet ihr einen eBay Kleinanzeigen-Link in der Form

[code parse=“no“ inline=“yes“]http://kleinanzeigen.ebay.de/anzeigen/m-meine-anzeigen.html;jsessionid=xyzabc…[/code]

verteilen, haben eure Freunde oder Kollegen, die sich im gleichen LAN befinden und auf den Link klicken, vollen Zugriff auf euren Account. Vorraussetzung dafür ist, dass ihr euch noch nicht ausgeloggt habt, also die Session auf der Seite noch aktiv und nicht abgelaufen ist. Weiterhin kann man mit anderen Links der Seite und dem angehängten Sessionkey weitere Bereiche des Accounts ändern bzw nutzen.

Zum Ändern des Accounts
[code parse=“no“ inline=“yes“]https://kleinanzeigen.ebay.de/anzeigen/m-einstellungen.html;jsessionid=xyzabc…[/code]

Zum Ändern der Facebook-Einstellungen:
[code parse=“no“ inline=“yes“]http://kleinanzeigen.ebay.de/anzeigen/m-facebook.html;jsessionid=xyzabc…[/code]

Bei allen Links muss nur ;jsessionid= und der Sessionkey angehängt werden.

Ohne jegliche Abfragen durch eBay Kleinanzeigen kann so man im Namen der Accountbesitzers Kleinanzeigen erstellen, erstellte löschen und sonstigen Schabernack oder bösartige Sachen treiben. Und der Besitzer des Accounts bekommt davon gänzlich wenig mit.

Hinweis also an die Anzeigenaufgeber: nutzt die von ebay Kleinanzeigen angebotenen Links ohne, dass der Sessionkey dran hängt und loggt euch aus, wenn ihr fertig seid.

Ich weiß nun nicht inwieweit das Portal die IP eines Nutzers berücksichtig. Sollten sie das nicht machen, bestünde das Problem mit dem Zugriff bereits, wenn man nur den Sessionkey zur Verfügung hat.

Sicherlich müssen die oben genannten Faktoren zutreffen um die Lücke nutzen zu können. Aber an dieser Stelle sollte eBay Kleinanzeigen nacharbeiten. Eventuell IP-Kontrolle einpflegen und die Sessions nicht zu lange laufen lassen.


Beitrag veröffentlicht

in

, ,

von

Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert