Entry № 1363
Web skimmer / 电子 skimming
Web skimmer / 电子 skimming 是什么?
Web skimmer / 电子 skimming注入到网站中的恶意代码,在客户输入时窃取支付卡或个人数据。
Web skimmer(又称 e-skimmer、数字 skimmer)是 Magecart 类攻击中执行窃取行为的 JavaScript 或服务端代码。它驻留在在线商店的结账流程中,直接从 DOM 或网络请求中读取卡号、CVV、有效期与个人信息,再外传到投放服务器。常见入侵途径包括利用 CMS 漏洞、攻陷第三方脚本、接管被遗弃的 S3 存储桶或盗用管理员凭据。部分 skimmer 还会隐藏在伪造的 favicon 或隐写图片中。防御措施包括启用 CSP 与上报、子资源完整性、PCI DSS v4.0 要求的客户端脚本完整性监控,以及对脚本标签与 Tag Manager 的严格权限控制。
● 示例
- 01
附加在 Magento 模板上的混淆脚本采集 CVV 并发送到一个 typosquatted CDN 域名。
- 02
藏在伪造 favicon 图片中的 skimmer 仅在 Shopify 商店的结账页上触发。
● 常见问题
Web skimmer / 电子 skimming 是什么?
注入到网站中的恶意代码,在客户输入时窃取支付卡或个人数据。 它属于网络安全的 攻击与威胁 分类。
Web skimmer / 电子 skimming 是什么意思?
注入到网站中的恶意代码,在客户输入时窃取支付卡或个人数据。
如何防御 Web skimmer / 电子 skimming?
针对 Web skimmer / 电子 skimming 的防御通常结合技术控制与运营实践,详见上方完整定义。
Web skimmer / 电子 skimming 还有哪些其他名称?
常见的别称包括: E-skimmer, 数字 skimmer, JS sniffer。