هکرهای حرفه‌ای برای سرقت کارتهای اعتباری از فروشگاه‌های اینترنتی به استفاده از سرورهای گوگل روی‌ آورده‌اند. روش جدید جهت عبور از سیستم امنیتی محتوا ( CSP ) با استفاده از ابزار تحلیل ترافیک گوگل ( Google Analytics ) انجام میشود.

موج جدید این حملات از چند هفته پیش آغاز شده و هجوم به سایتهای فروشگاهی با استفاده از این روش هر روز افزایش بیشتری پیدا میکند. این روش فقط روی سایتهایی کاربرد دارد که از سیستم Google Web Analytics استفاده میکنند و دامنه‌های گوگل درون CSP این فروشگاه‌ها در لیست سفید قرار دارند ( CSP یک استاندارد امنیتی مانند فایروال است که برای جلوگیری از اجرا کدهای اینجکتی و غیرقابل اعتماد در برنامه‌های تحت وب استفاده میشود، به این حالت که امکان دستکاری صفحات و فرم‌ها محدود شده و درخواست‌های غیر استاندارد و دستکاری شده لغو میشوند ).

تحقیقات جدید شرکتهای امنیتی SanSec و PerimeterX نشان میدهد که استفاده از CSP جهت محافظت از دستکاری سورس صفحات زمانی که از Google Analytics استفاده میکنید عملا بی‌فایده است زیرا هکرها میتوانند با استفاده از اسکریپت گوگل سیستم امنیت محتوا را دور بزنند و اطلاعات مشتریان را سرقت کنند.

نمایی از عملکرد این باگ که سورس صفحه ویرایش شده و کد گوگل با کد هکر جهت استخراج دیتا از سایت فروشگاه جایگزین شده است. با POST صفحه دیتا فروشگاه برای فرد نفوذگر نمایش داده میشود.

هنوز گوگل راهکاری برای حل این مشکل ارائه نکرده و نفوذگران در حال استفاده از این روش جدید جهت دستبرد به فروشگاههای بزرگ اینترنتی هستند.


دوست داشتید؟ لطفا با دوستان خود به اشتراک بگذارید.

99

یک نظر

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *