隱藏在網站CSS中的竊密腳本
發(fā)布時間:2025-07-07 點擊:16
在過去的兩年里,網絡犯罪分子使用了各種各樣的方法來在網上商城的各個地方隱藏針對credit card的信息竊取代碼,以防止被安全檢測方案所發(fā)現(xiàn),而這些信息竊取代碼也被稱之為web skimmer或magecart腳本。
在此之前,研究人員曾在網站logo、縮略圖標、內部圖像、實時聊天窗口、社交媒體分享按鈕以及熱門javascript庫中發(fā)現(xiàn)過web skimmer的身影。但是,最近發(fā)現(xiàn)的惡意代碼宿主已經涉及到了css文件了。
css文件代表層疊樣式表,在瀏覽器內使用css文件可以加載各種規(guī)則以對網頁元素進行樣式化定義。這些css文件通常包含描述各種頁面元素的顏色、文本大小、各種元素之間的填充、字體設置等的相關代碼。
然而,現(xiàn)在的css已經不是21世紀初的樣子了。在在過去的十年里,css語言已經發(fā)展成為了一種強大的實用工具,web開發(fā)人員現(xiàn)在正在使用它來創(chuàng)建強大的動畫,而很少甚至幾乎沒有人會選擇使用javascript。
css語言最近增加的一個功能,即添加css變量,這種變量可以用于存儲某些之后需要復用或調用的內容。
荷蘭安全公司sanguine security(sansec)的創(chuàng)始人willem de groot表示,目前至少有一個網絡犯罪團伙正在使用css變量來進行攻擊。web skimmer團伙首先會獲取一個在線商店的訪問權限,然后修改其css和javascript文件,并向其中注入惡意代碼。
在css代碼中,他們會添加一個css變量,這個變量中存儲的是他們需要在被攻擊商店中加載web skimmer代碼的url地址,而這個css變量會通過一個看似無害的javascript代碼(注入到在線商店中的其他地方)中進行調用。
下圖顯示的是css文件中的css變量:
下圖顯示的是javascript代碼調用css變量的代碼段:
web安全工具通常只掃描javascript代碼,而不會掃描css文件。除此之外,它們只會掃描javascript代碼的靜態(tài)版本,而并不會實際執(zhí)行這些javascript腳本。
這樣做是為了避免在網上商店里制造空的購物車或影響在線商店的分析平臺。這也就意味著,隱藏在css變量中的惡意代碼在大多數(shù)平臺上都不會被發(fā)現(xiàn),即使這些網站使用了功能強大的web應用程序防火墻和web安全掃描器。
willem de groot表示,他們在最新發(fā)現(xiàn)的web skimmer代碼之中,發(fā)現(xiàn)了一個標準的鍵盤記錄程序。自從通過twitter發(fā)布了相關報告之后,它似乎在一個小時之后就被下線了。他說到:“我們還發(fā)現(xiàn)了一些其他受此技術感染的在線商店,然而這些基礎設施自今年9月份以來貌似就已經上線了,因為此前還有十多次傳統(tǒng)攻擊也使用過這些基礎設施。由此我們推斷,這些css文件貌似是攻擊者進行新技術實驗的一個部分。”
盡管這種通過使用css規(guī)則作為代理來加載web skimmer代碼的技術無疑是一種創(chuàng)新,但willem de groot也表示在線商店的店主或者在線購物用戶其實并不用過多的擔心。他表示:“雖然大多數(shù)研究都涉及到了javascript skimming攻擊,但大部分的skimming都發(fā)生在服務器上,而我們是無法在服務器上觀察到相關攻擊行為的。在今年我們所進行的取證調查活動中,我們發(fā)現(xiàn)在65%的攻擊情況下,服務器端skimmer代碼隱藏在數(shù)據庫、php代碼或linux系統(tǒng)進程之中。”
正如zdnet周一在一篇關于sansec另一項調查結果的文章中所解釋的那樣,購物者保護自己免受web skimmer攻擊的最簡單方法就是使用為一次性付款設計的虛擬支付卡。這些卡片由一些銀行或在線支付服務商提供,允許購物者在虛擬卡片中存入一筆固定金額的錢,該卡在一次交易或一小段時間后將會到期。如果卡片的詳細信息被攻擊者竊取,那么一旦虛擬卡過期,卡片數(shù)據將不再有效。
原文地址:https://www.freebuf.com/articles/web/258971.html
中山到贛州物流專線
洛陽到龍口物流專線
洛陽到淮南物流專線
云主機和虛擬主機有哪些不同之處?
廣州到昌邑物流專線
簡析Alexa排名查詢
品牌建站和營銷建站的不同點是什么
泰州到廣州物流專線
在此之前,研究人員曾在網站logo、縮略圖標、內部圖像、實時聊天窗口、社交媒體分享按鈕以及熱門javascript庫中發(fā)現(xiàn)過web skimmer的身影。但是,最近發(fā)現(xiàn)的惡意代碼宿主已經涉及到了css文件了。
css文件代表層疊樣式表,在瀏覽器內使用css文件可以加載各種規(guī)則以對網頁元素進行樣式化定義。這些css文件通常包含描述各種頁面元素的顏色、文本大小、各種元素之間的填充、字體設置等的相關代碼。
然而,現(xiàn)在的css已經不是21世紀初的樣子了。在在過去的十年里,css語言已經發(fā)展成為了一種強大的實用工具,web開發(fā)人員現(xiàn)在正在使用它來創(chuàng)建強大的動畫,而很少甚至幾乎沒有人會選擇使用javascript。
css語言最近增加的一個功能,即添加css變量,這種變量可以用于存儲某些之后需要復用或調用的內容。
荷蘭安全公司sanguine security(sansec)的創(chuàng)始人willem de groot表示,目前至少有一個網絡犯罪團伙正在使用css變量來進行攻擊。web skimmer團伙首先會獲取一個在線商店的訪問權限,然后修改其css和javascript文件,并向其中注入惡意代碼。
在css代碼中,他們會添加一個css變量,這個變量中存儲的是他們需要在被攻擊商店中加載web skimmer代碼的url地址,而這個css變量會通過一個看似無害的javascript代碼(注入到在線商店中的其他地方)中進行調用。
下圖顯示的是css文件中的css變量:
下圖顯示的是javascript代碼調用css變量的代碼段:
web安全工具通常只掃描javascript代碼,而不會掃描css文件。除此之外,它們只會掃描javascript代碼的靜態(tài)版本,而并不會實際執(zhí)行這些javascript腳本。
這樣做是為了避免在網上商店里制造空的購物車或影響在線商店的分析平臺。這也就意味著,隱藏在css變量中的惡意代碼在大多數(shù)平臺上都不會被發(fā)現(xiàn),即使這些網站使用了功能強大的web應用程序防火墻和web安全掃描器。
willem de groot表示,他們在最新發(fā)現(xiàn)的web skimmer代碼之中,發(fā)現(xiàn)了一個標準的鍵盤記錄程序。自從通過twitter發(fā)布了相關報告之后,它似乎在一個小時之后就被下線了。他說到:“我們還發(fā)現(xiàn)了一些其他受此技術感染的在線商店,然而這些基礎設施自今年9月份以來貌似就已經上線了,因為此前還有十多次傳統(tǒng)攻擊也使用過這些基礎設施。由此我們推斷,這些css文件貌似是攻擊者進行新技術實驗的一個部分。”
盡管這種通過使用css規(guī)則作為代理來加載web skimmer代碼的技術無疑是一種創(chuàng)新,但willem de groot也表示在線商店的店主或者在線購物用戶其實并不用過多的擔心。他表示:“雖然大多數(shù)研究都涉及到了javascript skimming攻擊,但大部分的skimming都發(fā)生在服務器上,而我們是無法在服務器上觀察到相關攻擊行為的。在今年我們所進行的取證調查活動中,我們發(fā)現(xiàn)在65%的攻擊情況下,服務器端skimmer代碼隱藏在數(shù)據庫、php代碼或linux系統(tǒng)進程之中。”
正如zdnet周一在一篇關于sansec另一項調查結果的文章中所解釋的那樣,購物者保護自己免受web skimmer攻擊的最簡單方法就是使用為一次性付款設計的虛擬支付卡。這些卡片由一些銀行或在線支付服務商提供,允許購物者在虛擬卡片中存入一筆固定金額的錢,該卡在一次交易或一小段時間后將會到期。如果卡片的詳細信息被攻擊者竊取,那么一旦虛擬卡過期,卡片數(shù)據將不再有效。
原文地址:https://www.freebuf.com/articles/web/258971.html
中山到贛州物流專線
洛陽到龍口物流專線
洛陽到淮南物流專線
云主機和虛擬主機有哪些不同之處?
廣州到昌邑物流專線
簡析Alexa排名查詢
品牌建站和營銷建站的不同點是什么
泰州到廣州物流專線