防止 iframe 安全问题
preventing iframe security issue
如此处所述 http://blogs.gartner.com/avivah-litan/2010/04/22/watch-out-transaction-signing-is-being-socially-engineered/
被泄露的事务签名的工作方式是 一旦网上银行用户发起了付款请求, 银行要求用户在专用交易上签名 带外EMV CAP读卡器,插入了用户的EMV芯片卡。这 要求用户在阅读器上输入某些代码和值 确认要转移的货币金额和帐户 要转移到。
骗子知道何时启动交易签名 只需将iframe放在用户浏览器的顶部,该浏览器已更改 要输入的值,以便用户最终在 欺诈者的银行账户作为目标账户,而不是 他们打算的。
在交易签名方面需要考虑的事情 – 证明需要将整个过程保持在PC之外(在此 案例(和完全在另一个频道上。
您能解释一下如何"将iframe放在用户的浏览器之上"以及如何在技术上防止这种欺诈吗?
从报价中不清楚,但听起来他们在谈论消费者端点妥协。用户拿起了银行家特洛伊木马,因此他们的PC已成为不受信任的设备,可以显示误导性信息。在这种情况下,特洛伊木马运营商更改了显示的目标帐号,以便资金流向与用户认为他们贷记的一方不同的一方。
关键是用于做出安全决策的完整用户界面必须驻留在受信任的设备上。从PC到安全设备键入信息使用户有机会检查信息是否正确,就像在屏幕上显示正在授权的信息的设备一样。
但有一个缺失的部分,即消费者通常不知道他们输入的帐号是否真的是他们想要贷记的一方的帐号。除非他们之前与该方进行过许多交易,以便他们可以记住帐号并在错误时发现它(即使这样也不一定会引发标志(。
要纠正这一点,账户 ID 必须是可识别的东西,比如一个受控制的域名,而不是一个任意的数字。但是,对于您必须键入信息的任何独立设备,这都会带来问题,因为它需要全尺寸键盘。你可以使用仅显示的设备来做到这一点,比如德国的TAN生成器,它可以从屏幕上读取信息,或者你可以用一个很长的帐号来做到这一点,该帐号解码为可读的东西,并签名以防止未经授权的更改。
一旦整个决策发生在安全设备上,包括转账金额和用户可验证的目的地,不受信任的中介(您的 PC 作为中间人(的问题就解决了,交易是安全的。
尽管该信息不包括交易目的,但您仍然可以想象一次攻击,其中经销商更改了您在特定商店购买的实际商品,而不会更改成本!
这是XSS(跨站点脚本(攻击的示例。
例如,Friendster,它之前有很多XSS"漏洞",特别是在个人资料页面中。我可以在我的个人资料页面中注入脚本,并使我的页面看起来像登录页面。
一旦另一个用户查看我的个人资料,它看起来像一个Friendster登录页面!然后用户输入他的用户名和密码,不知道这是一个欺诈页面。输入的值将被路由到 my 服务器进行存储,而用户将被重定向到实际页面。
实际上,用户从未注销。用户被迫相信这是一个合法的页面,并被迫透露帐户详细信息。
为了防止这种情况,您不应允许任意 HTML 和脚本通过您的网站。攻击有很多入口点,通常是没有经过彻底验证的输入框。如果页面上存在注入的脚本,则事件 SSL 站点不安全。
- 关于ajax的安全问题
- AngularJs基于角色的菜单显示安全问题
- Http响应拆分安全问题的XMLHTTPRequest/Response用例的Filter实现
- 为什么我不能强制下载受污染的画布,为什么这是一个安全问题
- chrome扩展的内容安全策略问题
- 让用户通过javascript访问cookie是一个安全问题
- 使用不受信任的字符串(require.js)调用require()会引发安全问题
- Openlayers IE安全问题
- 如何应对iframe安全问题
- 使用 javascript 创建用户帐户时存在 Firebase 安全问题
- 依赖于jquery和css的html标记中的安全问题
- XMPP Strophe.JS应用程序安全问题
- 在javascript中操纵信用卡号是否会导致安全问题
- Ajax 回调断点安全问题
- 安全问题是将我的访问者带到一个危险的下载页面
- Openlayer 3 安全问题
- 将 JavaScript 变量传递给 PHP 变量的安全问题
- 读取 JS 数组的安全问题
- 防止 iframe 安全问题
- jQuery CDN 安全/不安全加载问题