Formjacking 表单劫持
Formjacking 表单劫持 是什么?
Formjacking 表单劫持通过在受害者浏览器中拦截表单提交过程,把输入数据发送给攻击者服务器的攻击。
Formjacking 针对任何 HTML 表单(登录、结账、账户更新),在用户浏览器中劫持其提交流程。攻击者会入侵存在漏洞的 Web 应用、管理员账号或第三方脚本(聊天插件、分析、A/B 测试工具),注入挂钩 submit 事件或 keyup 的 JavaScript。被捕获的凭据、卡号、地址或 PII 会被发送到远端,同时合法请求继续完成,用户难以察觉。Magecart 与 British Airways 事件正是教科书式案例。防御措施包括 CSP、子资源完整性、客户端运行时监控(Akamai Page Integrity、Jscrambler),以及 PCI DSS v4.0 中的客户端脚本完整性要求。
● 示例
- 01
在登录页注入的脚本在用户提交表单时捕获用户名与密码。
- 02
攻击者篡改 Shopify 结账应用,通过伪造的分析信标外传地址与卡号。
● 常见问题
Formjacking 表单劫持 是什么?
通过在受害者浏览器中拦截表单提交过程,把输入数据发送给攻击者服务器的攻击。 它属于网络安全的 攻击与威胁 分类。
Formjacking 表单劫持 是什么意思?
通过在受害者浏览器中拦截表单提交过程,把输入数据发送给攻击者服务器的攻击。
Formjacking 表单劫持 是如何工作的?
Formjacking 针对任何 HTML 表单(登录、结账、账户更新),在用户浏览器中劫持其提交流程。攻击者会入侵存在漏洞的 Web 应用、管理员账号或第三方脚本(聊天插件、分析、A/B 测试工具),注入挂钩 submit 事件或 keyup 的 JavaScript。被捕获的凭据、卡号、地址或 PII 会被发送到远端,同时合法请求继续完成,用户难以察觉。Magecart 与 British Airways 事件正是教科书式案例。防御措施包括 CSP、子资源完整性、客户端运行时监控(Akamai Page Integrity、Jscrambler),以及 PCI DSS v4.0 中的客户端脚本完整性要求。
如何防御 Formjacking 表单劫持?
针对 Formjacking 表单劫持 的防御通常结合技术控制与运营实践,详见上方完整定义。
Formjacking 表单劫持 还有哪些其他名称?
常见的别称包括: 表单 skimming, 客户端表单窃取。
● 相关术语
- attacks№ 642
Magecart 攻击
在电商结账页面注入恶意 JavaScript,在客户输入支付卡数据的同时进行窃取的一类数字 skimming 攻击。
- attacks№ 1229
Web skimmer / 电子 skimming
注入到网站中的恶意代码,在客户输入时窃取支付卡或个人数据。
- attacks№ 240
跨站脚本(XSS)
一种 Web 漏洞,攻击者可在其他用户浏览的页面中注入恶意脚本,使其在受害者浏览器中以该站点的来源身份运行。
- attacks№ 1116
供应链攻击
通过攻陷可信的第三方软件、硬件或服务提供商,进而入侵其下游客户的攻击方式。
- identity-access№ 230
凭据收集
大规模收集用户名、密码、令牌等身份验证机密的行为,通常用于后续账户接管或在黑市出售。
- compliance№ 807
PCI DSS
适用于存储、处理或传输支付卡数据的组织的全球信息安全标准,由 PCI 安全标准委员会维护。