ตรวจสอบจุดนักวิจัยเพิ่งพบช่องโหว่ในเว็บ AliExpress ที่อาจอาจทำให้ข้อมูลสำคัญถูกขโมย รายละเอียดบัตรเครดิตเป็นหลัก AliExpress เป็นเว็บไซต์ช้อปปิ้งนิยมที่ให้บริการกับลูกค้าประมาณ 100 ล้าน ผู้ใช้สามารถหาเกือบทุกสิ่งบนเว็บไซต์ และคูปองดึงดูดลูกค้าทั้งเก่า และใหม่.
มันไม่ใช่เรื่องแปลกดู AliExpress ขอให้ผู้ใช้ใส่ในรายละเอียดของบัตรเครดิตสำหรับการตรวจสอบ และความหลื่นไหลออก และพวกเขามักจะให้ออกคูปองใน exchange นักวิจัยได้เปิดเผยเป็นแฮกเกอร์วิธีสามารถในทางทฤษฎีใช้ประโยชน์จากที่ และผู้ใช้จะไม่รู้ให้ข้อมูลบัญชีธนาคารของตนแก่กิจการที่เป็นอันตราย
การโจมตีอาจทำงานอย่างไร
โจมตีจะส่งออกอีเมลที่มีลิงค์ไปยังหน้า AliExpress ถูกบุกรุกด้วยรหัส JavaScript ที่เป็นอันตราย ในทางทฤษฎี หากมีคนคลิกลิงค์ และป้อนหน้า รหัสเป็นอันตรายจะสามารถดำเนินการในเบราว์เซอร์ของผู้ใช้ ซึ่งจะอนุญาตให้ข้ามของ AliExpress ป้องกันการโจมตีสคริปต์ข้ามไซต์
เมื่อเว็บไซต์ ป๊อปอัพจะปรากฏ เหมือนกับกฎหมาย AliExpress คูปองป๊อปอัพ อ้างว่า คุณสามารถรับคูปองถ้าคุณใส่รายละเอียดบัตรเครดิตของคุณ ถ้าคุณไม่ใส่ข้อมูล แทนการตรวจสอบ เร็ว คุณจะสามารถให้ผู้โจมตี มีข้อมูลธนาคารของคุณ
“ผู้โจมตีสามารถแล้วนำเสนอข้อเสนอคูปองผุดขึ้นบนหน้าจอหลัก – ทำงานภายใต้ AliExpress เป็นเจ้าของโดเมนย่อย – ขอให้ลูกค้าที่จะให้รายละเอียดบัตรเครดิตเพื่อให้ประสบการณ์การช็อปปิ้งราบรื่น และมีประสิทธิภาพมากขึ้น การโจมตี อย่างไรก็ตาม มีเพียงการควบคุมหน้าต่างนี้ผุดพร้อมป้อนข้อมูลบัตรเครดิตทั้งหมดส่งไปให้แทนที่เว็บไซต์ช้อปปิ้ง นักวิจัยความปลอดภัย Dikla Barda, report Zaikin โรมันและ Oded Vanunu
แม้ว่าชนิดของการโจมตีนี้เป็นทฤษฎีเท่านั้น มันมีแนวโน้มว่า จะมีพิสูจน์ความสำเร็จ นี้เป็นส่วนใหญ่เนื่องจากความจริงที่ว่า AliExpress แสดงคล้ายป๊อปอัพ ที่ผู้ใช้จะถูกใส่ในรายละเอียดของบัตรให้ประสบการณ์ช้อปปิ้งดีกว่า นอกเหนือจากคูปอง ดังนั้นถ้าผู้ใช้มีป๊อปอัพที่เป็นอันตราย ระวังความปลอดภัยมากที่สุดในการสิ่งอาจสงสัยว่า สิ่งที่ไม่ถูกต้อง
คำอธิบายแบบเต็มเกี่ยวกับวิธีการที่นักวิจัยค้นพบช่องโหว่ได้ here
AliExpress แก้ไขช่องโหว่
นักวิจัยผู้ค้นพบข้อบกพร่องรายงานมันไป AliExpress ที่ทันทีคงจะภายในสองวัน
“พบช่องโหว่ นักวิจัยจุดตรวจสอบทันทีแจ้ง AliExpress (9 ตุลาคม) ที่ เนื่องจากการในโลกไซเบอร์จัง ดำเนินการรวดเร็ว และคงจะภายในสองวันของการแจ้งเตือน (11 ตุลาคม) นี้สูงน่ายกย่อง และเป็นตัวอย่างเพื่อร้านค้าปลีกออนไลน์อื่น ๆ “