Accesso alle sequenze di tasti dirette su iframe?

4

Quindi stavo facendo una carta di credito virtuale da entropay.com e quando ho deciso di ricaricare con la mia carta di debito esistente. Ha aperto la pagina "Verified by Visa" (Una pagina in cui devi inserire una password per autorizzare il pagamento tramite la tua carta di debito. Viene aggiunta come misura di sicurezza aggiuntiva per controllare le frodi con le carte se la tua carta viene rubata) in un iframe. Normalmente quando ho usato la carta di debito, i commercianti aprono la pagina in una nuova scheda / finestra e lì inserisco la password e poi mi porta alla pagina di conferma del pagamento. Ora quando inserisco una password in una finestra / scheda diversa, altre schede non possono accedere alle mie sequenze di tasti, quindi non possono conoscere la mia password, ma non sono sicuro che ciò sia vero per un iframe. Se inserisco i dati in un iframe mentre la finestra genitore è ancora a fuoco, sarà in grado di registrare i miei dati di battitura / appunti?

Mi scuso se questo non era il posto giusto per porre questa domanda. In tal caso, puoi indicarmi un luogo in cui sarebbe più adatto.

    
posta Kam 07.08.2013 - 10:56
fonte

2 risposte

2

If I enter data in an iframe as the parent window is still on focus, will it be able to record my keystrokes

Ordina. La finestra padre non può interferire con gli eventi chiave nell'iframe stesso a causa della stessa politica di origine, ma vi sono vari attacchi clickjack che gli consentono di sovvertire quell'interfaccia. Un ovvio è che potrebbe sovrapporre la propria casella di immissione in cima all'interfaccia iframe nello stesso posto in cui si troverebbe la vera casella di password VbV.

A un livello più basilare, la finestra genitore potrebbe completamente falsificare il contenuto del frame, sia con la propria interfaccia di phishing da zero, sia facendo un man-in-the-middle con il contenuto dal server di autenticazione dell'Emittente ( SINDROME CORONARICA ACUTA). Dato che non esiste un indicatore del browser per dirti da quale sito proviene un iframe, non hai modo di dire che stai davvero parlando con la tua banca.

La conseguenza di ciò è che nel modello 3-D Secure basato su iframe, devi assolutamente fidarti del commerciante. I commercianti malintenzionati e coloro i cui siti sono compromessi (ad esempio da XSS) non fanno parte del modello di minaccia che 3-D Secure sta tentando di proteggere contro.

È abbastanza raro vedere 3-D Secure aperto in una nuova pagina o finestra pop-up al giorno d'oggi; il modello pop-up è stato deprecato da Visa anni fa e il modello di reindirizzamento non è favorito dai commercianti a causa del modo in cui toglie l'utente dall'interfaccia utente del commerciante.

    
risposta data 08.08.2013 - 14:23
fonte
0

Bene, gli IFram non saranno di grande aiuto. Questo perché i keylogger in genere funzionano a livello di hardware, kernel o API. A livello di API, ad esempio, ci sono funzioni come GetAsyncKeyState che ti diranno in qualsiasi momento se un tasto è premuto o meno. Ci sono molte tecniche, questo è solo un esempio.

    
risposta data 07.08.2013 - 17:06
fonte

Leggi altre domande sui tag