黑客使用谷歌应用程序窃取信用卡详细信息

导读 一位安全研究人员发现了一种由黑客设计的新颖方法,可以使用Google自己的工具来获取电子商务购物者的信用卡详细信息。 在分析网络安全公司

一位安全研究人员发现了一种由黑客设计的新颖方法,可以使用Google自己的工具来获取电子商务购物者的信用卡详细信息。 在分析网络安全公司Sansec的数据时,埃里克·布兰德尔(Eric Brandel)发现黑客正在使用Google的Apps Script域对任何内容安全策略(CSP)控件都是合法的。

“滥用Google Apps脚本的有趣之处在于端点是script [。] google [。] com,” Brandel在Twitter上分享。

CSP有助于确定受信任的来源,以防止跨站点脚本和其他类型的代码注入攻击。但是,在这种情况下,黑客设法通过伪装在受信任域的后面来欺骗控件。

布兰德尔(Brandel)发现,黑客利用了这样一个事实,即几乎所有在线商店都将在其各自的CSP配置中将所有Google子域列入白名单。他们滥用这种信任来使用App Script域将窃取的数据路由到他们控制下的服务器。

这不是在线欺诈者第一次依靠Google域名和服务的声誉。据报道,臭名昭著的网络组织滥用Google服务(例如Google表格和Google Forms)进行恶意软件的命令和控制通信。

去年,Sansec发现了一个完全在Google服务器上运行的网络掠夺活动,该活动将被盗的信用卡信息发送到Google Analytics(分析)。

Brandel表示,他能够在几分钟内复制最新滥用行为的设置,并高兴地补充道,现在是时候Web开发人员应该停止配置其CSP来信任Google子域了。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时候联系我们修改或删除,多谢