网上浏览
作者:Randy Paszek,Source Defense高级销售工程师
什么是 eSkimming?
eSkimming、Magecart 和 formjacking 都是用来描述基于网站的攻击的术语,这些攻击利用注入网页的恶意代码来读取、写入或更改页面的预期功能。这些攻击通常针对支付卡数据、健康信息、身份信息或财务账户信息,在现代网站上很常见。在线业务量很大的公司应该意识到 eSkimming 攻击的风险和后果。
eSkimming 和 Magecart 攻击简史
eSkimming 攻击 whatsapp 号码数据 至少从 2014 年就开始了,最初的目标是 Adobe Magento 电子商务平台。这些早期的攻击被称为“ Magecart ”,证明了使用 JavaScript 作为此类攻击基础的有效性。
随着网上购物的增多,Magecart 团伙(至少已发现 13 个已知团伙)开始寻找其他平台和技术来实施 eSkimming 攻击,例如 Heroku、WordPress、Shopify 和 WooCommerce。基于平台的攻击利用平台版本中已知的漏洞,这可能允许恶意代码插入或运行在该平台中,从而可能影响运行该版本平台的任何网站。
最新的 eSkimming 攻击向量
最近,出现了一些先 观众参与策略 进的技术,例如使用网站图标将 eSkimming JavaScript 存储在图片的 EXIF 数据中、将略读数据隐藏在 JPEG 文件中以及使用随机化仅影响页面的一定百分比访问者。这些技术表明,随着窃取数据和在线交易的盈利能力不断提高,eSkimming 攻击也在不断演变。
防范电子窃取攻击的最佳做法
当你尝试保护你的电子商务网站免遭 eSkimming 攻击时,需要记住以下几点:
使 Web 应用程序软件保持最新的补丁和修复是防止 eSkimming 攻击的重要步骤。
通过修补服务和软件实现修补过程的自动化也可能有帮助。
遵守行业和政府关于保护网络应用程序安全的指导方针可以使网站攻击更加困难并阻止潜在的攻击者。
PCI DSS 4.0、CCPA、GDPR、ATT&CK 和 NIST CSF 等法规为确保网站上的数据交易安全提供了最佳实践和指导。
场地所有者可以咨询内部或外部 GRC 分析师或合规评估员,以确保遵守必要的法规。
虽然这些做法可以强化 Web 应用,但并非万无一失。还必须配备监控、检测和预防工具,以便在发生攻击时帮助事件响应者。
防范 eSkimming 攻击的工具
有一些本机浏览器工具(例 中國新聞 如子资源完整性和内容安全策略)可以提供针对 eSkimming 攻击的基本级别的保护。
子资源 完整性 (SRI)使用网站所有者创建的哈希来确保只有未更改的代码才能在网站上运行,但这可能会限制网站上第三方代码和动态代码的使用,从而可能影响用户体验并限制分析和广告服务的使用。