-
- いいね!320
なんかあるぞ...
タリーズ オンラインストアで5万件以上のクレジットカード情報が流出→カード番号や名義だけでなくセキュリティーコードま..
不正利用できる情報がすべて揃っているので、心当たりのある方はご注意を...
64126 pv
77
62 users
32
motikan2010
@motikan2010
タリーズオンラインストアのWebアーカイブ(2024.02.29)にナンカある。 pic.x.com/uGQwl9g669
2024-10-04 08:34:27
あらおじ
@ojigunma
すごい タリーズの原因発見してる人いる 確かにナンカある slick.min.js という画像をスライドするファイルの中に 難読化された悪意のあるコードが追記されてるっぽい 難読化は4段階ぐらいされてるらしい これブラウザとかセキュリティソフトで気づくのは無理なんだろか。。。 x.com/motikan2010/st…
2024-10-04 13:15:14
Niishi Kubo | GitLab,Limeboard
@n11sh1_
クレカ情報漏洩の件、技術的な原因特定はこの投稿が一番分かりやすかった。 slick.min.js(画像切り替えのライブラリ)を改ざんされてマルウェアが仕込まれて、クレカ情報はサーバーに送信される前にフロントエンドから外部に送信されていたらしい。Content-Security-Policy がレスポンスヘッダーにきちんと設定されていれば悪意あるドメインに対しての通信をブロックできた可能性が高い。 ちなみに GitLab DAST で Content-Security-Policy の脆弱性が検知できるので、防衛策としてDevSecOpsの重要性を感じた。
2024-10-04 17:17:57
Niishi Kubo | GitLab,Limeboard
@n11sh1_
該当ライブラリはCDNで配布されているものではなく、本番環境の /Js/Slick/slick.min.js にアクセスしているので、全てのslick.min.jsが影響ある訳では無さそう。改ざん経路やタイミングは内部調査しないと分からない。 ただ一つ言えることとしては、コードの難読化解除 x.com/motikan2010/st… するとslick.min.jsの最終行に eval() 関数で悪意あるドメインに対して入力したクレカ情報を通信しているので、レスポンスヘッダーに Content-Security-Policy が適切に設定されていれば防げた可能性は高い。 具体的には ▼ connect-src ディレクティブの設定 スクリプトからの外部リソースへの通信先を制限して、マルウェアが悪意あるドメインにデータを送信するを防ぐ。 例. Content-Security-Policy: connect-src 'self' https://api.trustedservice. com; ▼ eval() の禁止 Content-Security-Policy はデフォルトで eval() の使用を禁止しているが、 'unsafe-eval' を指定することで許可できる。eval() が全て悪さをする訳では無いので実行環境に応じて慎重に精査する必要があるが 'unsafe-eval' を指定しなければ、今回のようなケースは防げる可能性もある。
2024-10-05 08:30:41eval...
koromoko10
@koromoko10
なに書いてるかわからないけど何か危ないことだけはわかる(eval...) x.com/motikan2010/st…
2024-10-04 22:17:06
ヒライ
@no_hirai
引用見ると タリーズが入れてるライブラリになんかやられた感じ? ライブラリにeval あってそこから別サーバに情報渡してた感じなのかな
2024-10-04 13:11:16クロスサイトスクリプティング(XSS)?
Kuninaga|転職活動中
@kuninagaaa
これはおそらくクロスサイトスクリプティング(XSS)かな? 今回の場合は悪意あるスクリプトを通じて利用者のブラウザで実行されるコードを持ち込み、利用者のCookieやセッション情報を盗んだということみたいですね。入力のサニタイズやCSPである程度対策は可能。以前バーカーズバーで聞いた記憶。 x.com/motikan2010/st…
2024-10-04 23:30:29