过去一年发生了多起从电商网站窃取用户信用卡数据的安全事故,如新蛋的结帐页面在长达一个月里被人植入了窃取信用卡数据的恶意代码。
最新的这起事件其特别之处是网站遭到了两帮互相竞争的黑客的入侵。受害者是 Umbro Brasil,第一帮黑客利用网站漏洞植入了明文的 JavaScript 代码,当用户完成支付时将支付的卡号信息发送给攻击者。第二帮黑客可能利用相同或不同的漏洞入侵网站,植入了混淆过的 JavaScript 代码,第二帮黑客还纂改了第一帮黑客植入的 JS 代码,在发送用户的信用卡数据时用随机生成的数字替换了信用卡的最后一位号码,意味着有 90% 的机会第一帮黑客获得的数据是错误的。
本文来源:游侠安全网http://www.youxia.org/2018/11/42851.html