web-dev-qa-db-ja.com

Origin iframeをクロスすることはウェブログで検出できますか

最近のブログ投稿は、ハッカーがWebサーバーを所有していることを示しています-少なくともコンテンツとWebスキミング攻撃の挿入。 https://blog.malwarebytes.com/hacking-2/2020/03/criminals-hack-tupperware-website-with-credit-card-skimmer/

これはWebサーバーのログで検出可能ですか?悪意のあるユーザーは、スキミング後に正当なチェックアウトページにリダイレクトし、メインページを制御していたため、参照URLはそこで正常に見えた可能性があります。しかし、悪意のあるiframeリクエストのいずれかがログに記録されますか?

deskofhelp.comどこかに表示する-Webログがそのままであると想定しますか?

2
Johann

方法がわかりません。 iframeを作成すると、GETリクエストはiframe srcに送信されますが、iframeをホストしているサーバーには送信されません。

そう deskofhelp[.]comはおそらくtupperware.comはリファラーヘッダーとしてログに記録されますが、その逆はありません。

クロスオリジンフレームcanframe-srcと組み合わせたCSPディレクティブreport-uri(または新しいreport-to)、しかしtupperware.comはCSPをまったく使用していないようです。

3
tim

これは、予想される相互作用の流れがどのように機能することになっているかに要約されます。たとえば、エンドユーザーがフローを妨げ、サイトからリダイレクトされて突然戻ってきた場合、ユーザージャーニーを再構築できる場合にのみ、ログからこれを確認できます。ユーザーインタラクションフローの構築方法に従っていないように見える大量のユーザーが突然いる場合は、問題があることがわかります。

0
munchkin