一位安全研究人員發(fā)現(xiàn)了一種由黑客設計的新穎方法���,可以使用Google自己的工具來獲取電子商務購物者的信用卡詳細信息���。
在分析網(wǎng)絡安全公司Sansec的數(shù)據(jù)時,埃里克·布蘭德爾(Eric Brandel)發(fā)現(xiàn)黑客正在使用Google的Apps Script域對任何內(nèi)容安全策略(CSP)控件都是合法的�。
“濫用Google Apps腳本的有趣之處在于端點是script [。] google [��。] com�����,” Brandel在Twitter上分享��。
濫用信任
CSP有助于確定受信任的來源�����,以防止跨站點腳本和其他類型的代碼注入攻擊��。但是�,在這種情況下,黑客設法通過偽裝在受信任域的后面來欺騙控件�。
布蘭德爾(Brandel)發(fā)現(xiàn),黑客利用了這樣一個事實�����,即幾乎所有在線商店都將在各自的CSP配置中將所有Google子域列入白名單���。他們?yōu)E用這種信任來使用App Script域將竊取的數(shù)據(jù)路由到他們控制下的服務器�。
這不是在線欺詐者第一次依靠Google域名和服務的聲譽�。根據(jù)報告,臭名昭著的網(wǎng)絡犯罪集團濫用Google服務(例如Google表格和Google Forms)進行惡意軟件的命令和控制通信���。
去年�,Sansec發(fā)現(xiàn)了一個完全在Google服務器上運行的網(wǎng)絡掠奪活動��,該活動將被盜的信用卡信息發(fā)送到Google Analytics(分析)����。
Brandel表示�����,他能夠在幾分鐘內(nèi)復制最新濫用行為的設置��,并高興地補充道���,現(xiàn)在是時候Web開發(fā)人員應該停止配置其CSP來信任Google子域了。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡舉報APP下載
