Ebay – Une importante faille SQL corrigée sur la plateforme de vente

2

Un chercheur spécialisé dans la sécurité Web depuis 2005, David Vieira-Kurz a découvert et fait corrigé une importante vulnérabilité SQL sur un sous-domaine de la plateforme Ebay qui aurait pu conduire à une belle fuite de données… Explications.

Il explique que c’est au cours d’une investigation sur les nombreux sous-domaines du site Ebay, qu’il a trouvé une injection SQL exploitable qu’il a ensuite rapporté à l’équipe de sécurité d’Ebay. Il affirme qu’il a fallu 20 jours pour que ces derniers corrige l’injection SQL !

La page vulnérable était situé à dans le gestionnaire d’article situé sur le sous domaine sea.ebay.com et le paramètre vulnérable était la variable « checkbox », un tableau venant de l’action POST. Celui-ci a pu constaté que des erreurs SQL remontaient lorsqu’il tentait d’injecter des fausses informations.

Après quelques essais, le chercheur a réussi à l’exploiter :

 

Agenda de report :

October, 30th 2012: Vulnerability found and reported to Ebay ( securityresearch@ebay.com ) 
November, 05th 2012: Vulnerability reported to Ebay once again
November, 05th 2012: Ebay confirms the presence of the SQL injection
November, 16th 2012: Ebay replied that the SQL Injection is now fixed
November, 18th 2012: public post

2 Commentaires

  1. Et bien, décidément, en ce moment, ça y va… Java, Skype, maintenant Ebay : les gros sont à la fête par les temps qui courent !
    Pas très rassurant tout ça :/

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

Notifiez-moi des commentaires à venir via e-mail. Vous pouvez aussi vous abonner sans commenter.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.