新闻链接：224K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6e0u0U0N6r3!0Q4x3X3g2U0L8$3#2Q4x3V1k6z5k6i4N6K6i4K6u0r3x3U0l9I4y4o6l9&6i4K6u0r3x3K6x3&6y4o6x3#2i4K6u0W2K9s2c8E0L8l9`.`.
   新闻时间：2014-09-30
   新闻正文：
近日BBC及信息安全网站Graham Cluley报道称，eBay出现跨站描述语言(cross-site scripting, XSS)漏洞，可能使点入拍卖商品链接的用户被导向钓鱼网站。

在eBay上点选某个iPhone 5s的链接之后，即被引导到一个假冒eBay登录画面的网页

IT顾问Paul Kerr在eBay上搜寻iPhone 5S拍卖商品的链接后发现自己被导向与eBay登录页面几乎一样的外部网页，要求输入信箱帐号及密码。Cluley指出，eBay 的XSS漏洞让黑客得以在产品页面上植入一段恶意程序代码，让使用者点入后自动被引导到外部网页，比如钓鱼网站，黑客便可轻松获取用户帐户密码以及用户信息。

目前eBay已删除部份问题链接，并对媒体表示，这只是特例个案。但BBC报道称经过简单搜寻，15天之内的货品中即可找到64个有类似行为的货品链接。

媒体引述eBay发言人指出，这个问题和eBay允许用户在网站上使用JavaScript和Flash等动态内容有关，许多卖家喜欢用JavaScript和Flash使其物件更吸引人，有滥用此类动态内容的趋势。但eBay不允许跨网站描述语言，而且eBay有各种安全措施可以侦测并移除含有恶意程序代码的商品链接。后来eBay又通过媒体表示，网络罪犯刻意修改程序代码和入侵技巧，以规避最严密的安全系统。

Graham Cluley报道指出，eBay XSS漏洞可能二月开始即已存在。事实上，近年eBay已多次传出有XSS和其他漏洞，最近的一次是五月。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课