电子商务零售商敦促实施客户端解决方案,以检测破坏相同起源政策的攻击beplay维护得多久
令人欣慰的观念,即iframes中托管的付款服务提供了有效的防御Magecart攻击一直在动摇。
Cerimeterx的安全研究人员发现,一些网络犯罪分子已经开始使用一种能够绕过iFrames提供的保护的技术,这些技术用于将HTML文档嵌入另一个。
该策略使Magecart攻击者能够浏览信用卡数据,同时允许成功进行付款交易 - 这一因素使黑客更隐秘,更难检测到。
外包付款
许多电子商务beplay体育能用吗网站将其付款流程外包给提供PCI安全标准委员会(PCI SSC)服务的专业公司。
实际上,在线零售商通过整合在结帐页面上iframe中托管的第三方付款脚本来外包付款的管理。
“从付款提供商那里采购的iframe在受保护的范围内收到信用卡号,CVV和到期日期,其中浏览器强制执行A数据访问限制作为其相同起源政策的一部分(SOP)安全机制。
该方法有助于保护Magecart和其他数字掠夺攻击的付款表格,或者我们希望。
土星在布伦特里周围奔跑
由Coleterx跟踪的一个Magecart小组一直在努力工作,试图使用流行的支付服务在网站上打破iFrame保护,包括PayPal-Subsidiary Braintree,WorldPay和Stripe。beplay体育能用吗
“他们在一个使用Braintree的网站上成功的一个实例成功了,” Enereterx说。beplay体育能用吗
成功的攻击使用了一个名为Saturn的数字撇渣工具包,以妥协在欧洲电子商务网站上损害Braintree托管的田野付款表。beplay体育能用吗
Perimeterx报告说:“攻击者在电子商务网站上修改了Braintree脚本,并创建了[A]多步攻击,导致将撇渣器脚本注入beplay体育能用吗到托管的IFRAME中,同时仍允许交易成功。”
在一个技术博客文章,coleterx解释了如何通过绕过客户端验证,浏览器现在如何从攻击者控制的域中加载iframe。
首次入侵网站后,攻击开始于更改Magento Braintbeplay体育能用吗ree付款脚本以从攻击者控制的域加载客户端脚本。
阅读更多Magento Security:释放用于付款插件漏洞的利用
根据Perimeterx的说法,“攻击者控制的IFRAME将加载Braintree信用卡收集器,以及在相同的IFRAME上下文中的附加撇渣器脚本,这将使其访问私人详细信息。”
“这有效地绕过了SOP保护付款将解决的付款。”
“这种隐秘的攻击技术没有给用户或网站管理员妥协的迹象,从而使掠夺性能够长时间持续在结帐页面上,” Chorimeterx警告说。beplay体育能用吗
安全研究人员向Braintree和PayPal透露了此问题,以及在此攻击中确定的[未命名]受感染网站。beplay体育能用吗
贝宝告诉perimeterx,攻击依赖于跨站脚本((XSS)脆弱性,并补充说它不负责beplay体育能用吗Web应用程序安全客户的网站。beplay体育能用吗
付款巨头补充说,在这种情况下,IFRAME不能保护网站。beplay体育能用吗
每日swbeplay2018官网ig接触PayPal就攻击和外围的技术撰写发表评论,但该付款公司表示,它没有什么可添加的评论。
尽管有反复的要求,但受感染的网站的所有者尚未对局部做出反应。
深入防御
安全研究人员认为,该事件表明iframe保护无法阻止Magecart攻击。
“虽然IFRAME保护有助于该站点遵守PCI DSS标准,但合规性并不等于安全性,” Perimeterx总结道。
“在这种情况下,网站不持有信用卡信息,beplay体育能用吗PayPal仅批准合法用户发起的合法交易,但信用卡号和CVV被盗。”
它补充说:“企业必须使用客户端可见性解决方案来检测此类攻击并迅速减轻它们。”beplay维护得多久
局部告诉每日swbeplay2018官网ig:“ iFrame保护仍然具有PCI合规性的价值。但是,这并不能阻止付款卡数据被掠过。beplay体育能用吗网站所有者需要对他们的付款脚本的行为方式保持警惕,以便检测到这种数字掠夺攻击。”
攻击进化
最新攻击是从以前的攻击Magecart攻击者使用工具包,例如间要修改结帐页面并用他们控制的假结帐表格交换托管字段,从那里可以浏览信用卡号。
这些虚假页面未能成功进行交易,向付费客户和网站管理员提醒某些事情是不对的,因此限制了攻击的有效性。
SYS管理员提醒可能的问题可能会恢复网站的干净版本并删除感染。通过使用土星工具包的欺骗性交易,可以通过未能生成警报,从而产生更隐秘的攻击。
此故事已更新以添加来自enereterx的评论。
