Des nouvelles ont été ajoutées en tête de listes.
Remontez pour les voir.
Inscription à la newsletter
Sécurité iframe exposée: l'angle mort alimentant les attaques de l'écumoire de paiement
The Hacker News - TheHackerNews -
24/09
Stripe Iframe Skimmer a frappé 49 marchands en août 2024, contournant CSP pour voler des cartes, conduisant les mises à jour PCI DSS 4.0.1.
Vous pensez que les iframes de paiement sont sécurisés par conception? Attention à nouveau. Les attaquants sophistiqués ont discrètement évolué des techniques de superposition malveillante pour exploiter les pages de paiement et voler les données de la carte de crédit en contournant les politiques de sécurité mêmes conçues pour les arrêter.
Téléchargez le guide de sécurité IFRAME complet ici.
TL; DR: Sécurité Iframe exposée
Paiement Les iframes sont activement exploités par les attaquants utilisant des superpositions malveillantes pour parcourir les données de carte de crédit. Ces fausses formes parfaites pour pixels contournent la sécurité traditionnelle, comme le prouve une récente campagne Stripe qui a déjà compromis des dizaines de marchands.
Cet article explore:
Anatomie de l'attaque de l'écumeur à rayures 2024.
Pourquoi les anciennes défenses comme CSP et les options X-Frame échouent.
Vecteurs d'attaque modernes: superpositions, usurpation post-message et exfiltration CSS.
Comment les scripts tiers des iframes de paiement créent de nouveaux risques.
Comment les nouvelles règles PCI DSS 4.0.1 forçaient les commerçants à sécuriser la page entière.
Une stratégie de défense en six étapes axée sur la surveillance en temps réel et le CSP.
Conclusion: un iframe est aussi sécurisé que sa page hôte. Les attaquants ne cassent plus les iframes; Ils exploitent les angles morts autour d'eux. La surveillance active est désormais obligatoire, pas facultative.
Un réveil: la campagne Spripe Iframe Skimmer
Les iframes de paiement sont conçus pour être des bacs à sable sécurisés, isolant les données de la carte de crédit du site du marchand. Cependant, les attaquants contournent cette protection en ciblant la page hôte elle-même.
La campagne Stripe Iframe Sk... [Courte citation de 8% de l'article original]
Loading...
🍪
Le modèle économique de notre site repose sur l'affichage de publicités personnalisées basées sur l'utilisation de cookies publicitaires. En continuant votre visite sur notre site, vous consentez à l'utilisation de ces cookies.
Politique de confidentialité