网络犯罪分子利用图片标签中的Onerror事件窃取支付信息
💡
原文中文,约1800字,阅读约需5分钟。
📝
内容提要
网络安全研究人员发现一种针对Magento电商网站的恶意软件,利用HTML图片标签隐藏恶意代码,通过onerror事件执行JavaScript,动态插入恶意表单,窃取用户信用卡信息。此类攻击隐蔽且复杂,旨在长期不被发现。
🎯
关键要点
- 网络安全研究人员发现针对Magento电商网站的恶意软件,利用HTML图片标签隐藏恶意代码。
- MageCart恶意软件专门窃取在线购物网站的敏感支付信息,通常在用户结账时触发。
- 攻击者通过将恶意内容隐藏在<img>标签中,利用onerror事件执行JavaScript代码,增加攻击隐蔽性。
- 恶意脚本动态插入包含信用卡信息字段的表单,将信息发送到外部服务器。
- 针对电商平台的攻击者旨在长期不被发现,注入的恶意软件通常更复杂。
- 网络安全公司还披露了WordPress网站的攻击事件,攻击者利用必用插件目录植入后门,保持持久性。
❓
延伸问答
MageCart恶意软件是如何窃取信用卡信息的?
MageCart恶意软件通过在电商网站的结账页面插入恶意表单,捕获用户输入的信用卡信息,并将其发送到外部服务器。
攻击者如何利用HTML的onerror事件进行攻击?
攻击者通过将恶意代码隐藏在<img>标签中,并利用onerror事件触发JavaScript代码,从而执行恶意操作。
这种恶意软件攻击的隐蔽性如何增强?
攻击者将恶意代码隐藏在看似无害的图片标签中,并利用浏览器默认信任onerror函数,增加了攻击的隐蔽性。
针对电商平台的攻击者有什么长期目标?
攻击者的目标是尽可能长时间地不被发现,注入的恶意软件通常比其他网站的恶意软件更复杂。
WordPress网站的攻击是如何进行的?
攻击者利用必用插件目录植入后门,执行恶意PHP代码,以保持持久性并规避检测。
这种恶意软件攻击对用户有什么风险?
用户在结账时可能会输入敏感支付信息,导致信用卡信息被窃取,造成财务损失。
➡️
