隐藏在网站css中的窃密脚本是什么(隐藏在网站css中的窃密脚本怎么写)

过去两年来,网络犯罪分子利用多种方法将信用卡信息窃取代码隐藏在网上商场的各个地方,以防止被安全检测解决方案发现。这些信息窃取代码也被称为WebSkimmer或Magecart脚本。此前,研究人员在网站徽标、缩略图图标、内部图像、实时聊天窗口...

过去两年来,网络犯罪分子利用多种方法将信用卡信息窃取代码隐藏在网上商场的各个地方,以防止被安全检测解决方案发现。这些信息窃取代码也被称为Web Skimmer 或Magecart 脚本。

此前,研究人员在网站徽标、缩略图图标、内部图像、实时聊天窗口、社交媒体共享按钮和流行的JavaScript 库中发现了Web Skimmer。然而,最近发现的恶意代码主机涉及CSS文件。

隐藏在网站css中的窃密脚本是什么(隐藏在网站css中的窃密脚本怎么写)

CSS 文件代表层叠样式表。 CSS 文件在浏览器中用于加载各种规则来定义网页元素的样式。这些CSS文件通常包含相关代码,描述各种页面元素的颜色、文本大小、各种元素之间的填充、字体设置等。

然而,今天的CSS 已不再是21 世纪初的CSS。在过去的十年中,CSS 语言已经发展成为一种强大的实用程序,Web 开发人员现在可以使用它来创建强大的动画,而很少甚至几乎没有人会选择使用JavaScript。

CSS语言最近添加的一个功能是添加了CSS变量,它可以用来存储某些需要重用或稍后调用的内容。

荷兰安全公司Sanguine Security(SanSec)创始人Willem de Groot 表示,目前至少有一个网络犯罪组织正在利用CSS 变量进行攻击。 Web skimmer 团伙首先获得在线商店的访问权限,然后修改其CSS 和JavaScript 文件并向其中注入恶意代码。

在CSS 代码中,他们将添加一个CSS 变量,用于存储在受攻击商店中加载Web Skimmer 代码所需的URL 地址,并且该CSS 变量将通过看似无害的JavaScript 代码传递(注入到在线商店的其他位置) )。

下图显示了CSS 文件中的CSS 变量:

下图显示了调用CSS 变量的JavaScript 代码片段:

Web 安全工具通常只扫描JavaScript 代码,而不扫描CSS 文件。此外,它们仅扫描JavaScript 代码的静态版本,并不实际执行这些JavaScript 脚本。

这样做是为了避免在在线商店中创建空购物车或影响在线商店的分析平台。这意味着隐藏在CSS 变量中的恶意代码在大多数平台上都不会被检测到,即使这些网站使用强大的Web 应用程序防火墙和Web 安全扫描程序。

Willem de Groot 表示,他们在新发现的Web Skimmer 代码中发现了一个标准的键盘记录器。由于该报告是通过Twitter 发布的,它似乎在一小时内就被下线了。他说:“我们还发现了一些其他在线商店感染了这种技术,但是这种基础设施似乎从今年9月就已经上线,因为它已经被用于十多次传统攻击中。据此,我们推断这些CSS 文件似乎是攻击者新技术实验的一部分。”

虽然这种利用CSS 规则作为代理加载Web Skimmer 代码的技术无疑是一种创新,但Willem de Groot 也表示,网上商店店主或网购用户无需过于担心。他表示:“虽然大多数研究涉及JavaScript Skimming 攻击,但大多数Skimming 发生在服务器上,我们无法观察到服务器上的相关攻击行为。在我们今年进行的取证调查活动中,我们发现在65%在攻击案例中,服务器端Skimmer 代码隐藏在数据库、PHP 代码或Linux 系统进程中。”

正如ZDNet 周一在一篇有关SanSec 另一项调查结果的文章中所解释的那样,购物者保护自己免受Web Skimmer 攻击的最简单方法是使用专为一次性付款而设计的虚拟支付卡。这些卡由一些银行或在线支付提供商提供,允许购物者将固定金额存入虚拟卡中,该卡在交易后或短时间内就会过期。如果卡的详细信息被攻击者窃取,一旦虚拟卡过期,卡数据将不再有效。

原文地址:https://www.freebuf.com/articles/web/258971.html

相关推荐

返回顶部