フォームジャックとは何ですか?
What Is Formjacking
解決:
あなたが参照しているSymantecの記事はこのようなものです。
グラフィックを見る:
ポイント1は、セキュリティ研究者にとって一般的に最も興味深いものです。これは、脆弱性が存在する場所だからです。
ポイント2と3は、このような脆弱性で何が可能になるかを示しています。たとえば、JavaScriptは、フィッシング攻撃(偽のフォームを表示)や、ユーザーがフォームに入力したデータを読み取るために使用できます。これはSymantecがフォームジャックと呼んでいるものですが、もちろん新しいことではありません。
彼らの記事には、「Webサイトはどのように侵害されていますか?」というセクションもあり、興味を引く可能性があります。
脆弱性には、サーバー側のコードを変更するオプションが含まれていますが、必ずしもメインアプリケーションのものである必要はありませんが、特にJavaScriptの依存関係にあります。
もちろん、サードパーティのJavaScriptを含めることに関する問題も新しいものではありません。 Burpは、たとえばそれをクロスドメインスクリプトインクルードと呼び、OWASPもそれについて警告します。サードパーティのスクリプトを含めるには、常にサードパーティへの完全な信頼とセキュリティプロセスへの信頼が必要です。
なぜフォームジャックが大事なのか
ノートンライフロック側の優れたマーケティング?
サーバーへの直接アクセス ではありません 必要
攻撃者がサーバーにアクセスすることなく、悪意のあるjavascriptがWebページに表示される可能性のある方法はいくつかあります。
- ウェブサイトの作者が信頼できない情報源から図書館にリンクしている可能性があります
- 例えばWeb開発者Aは、my-site.comの画像カルーセルを気に入っており、それに直接リンクしています。my-site.comの所有者は、いつでもそのスクリプトを変更して、悪意のあるコードを追加する可能性があります。
- ウェブサイトの作者は、信頼できないソースからJavaScriptをコピーした可能性があります
- 例えばWeb開発者Bは、摂氏を華氏に変換するためのライブラリを探しています。彼らはfree.javascriptlib.zzでその仕事をするスクリプトを見つけましたが、スクリプト自体が難読化されているため、悪意のあるコードが含まれていることに気づきません。
- エンドユーザーは、信頼できないブラウザ拡張機能またはブックマークレットを使用して自分自身を妨害する可能性があります。
- 例えばアリスはブラウザに絵文字キーボードを提供するボタンを追加しましたが、現在のページに悪意のあるコードを挿入します。
- エンドユーザーはDNSスプーフィングの被害者である可能性があります。
- 例えばhttps://code.jquery.com/jquery-3.3.1.min.jsに対するBobのDNSルックアップが侵害されたため、悪意のあるコードが追加された安全でないソースからバージョンのjqueryを配信するようになりました。
- ... NS。 NS。
これらのタイプの攻撃に関する他の懸念は、それらを検出するのが難しい可能性があることです。 Javascriptはクライアント側で実行されるため、これらのいずれもサイトが侵害されていることを示すフラグを立てることはありません。影響を受けるユーザーが詳細が盗まれたという警告を受け取る可能性はほとんどありません。
特にブリティッシュ・エアウェイズの脆弱性に関して、BBCはここに原因を推測する記事を書きました:https://www.bbc.co.uk/news/technology-45446529
その中で、彼らはそれがサードパーティのスクリプトである可能性が高いことを示唆し、「オンサイトカスタマーサービスチャットボットが潜在的な原因としてラベル付けされた」Ticketmasterに関する別の例を引用しています。
同意します。フォームジャックは脆弱性ではありませんが、一種の攻撃です 、これは、攻撃者が被害者のWebルート、または被害者を完全に信頼している別のサイトのWebルートへの書き込みアクセス権をすでに持っている場合に実行できます。
したがって、被害者のWebルートが安全である場合、フォームジャックも問題になる可能性がありますが、サードパーティのコードが動的に含まれるか、広告を配信しようとするだけで、信頼関係の不正な送信につながることがよくあります。
フォームジャックは興味深いものです。攻撃の犠牲者は会社の顧客であり、攻撃者は標的になっており、Magecartのようなグループはすでにかなりのお金を稼いでいます。