Il sito web che si apre all'interno di un dominio / frame 3d, è un possibile attacco?

2

Recentemente ho avuto un enorme aumento delle visite di un sito web che gestisco. A un controllo più approfondito ho scoperto di avere un nuovo riferimento. Quando ho aperto il sito sono rimasto piuttosto sorpreso.

Non è solo un riferimento, in fondo qualcuno ha comprato un dominio e sta aprendo il mio sito web da una cornice a pagina intera come questa:

frame name="main" noresize framespacing="0" frameborder="no" border="0" 
src="http://zzovq.voluumtrk.com/*****-*****-****-85c7-890*****?idade=35+"

Dove * rappresenta i numeri.

Attraverso l'url in src ricevono il mio sito web. Proxyed, apparentemente.

Oltre all'iframe, monitorano le visite sulla loro pagina tramite Google Analytics.

La mia domanda è: è un nuovo angolo di attacco? Cosa stanno provando?

Posso pensare ad alcuni possibili attacchi. Potrebbero essere il proxy del sito web e la modifica del contenuto (non ho trovato alcuna prova). Fare qualche iniezione JS (apparentemente no). In linea di principio XSS non è possibile in questo modo. Qual è il punto di questo?

    
posta nsn 12.05.2015 - 10:46
fonte

2 risposte

1

Nota: la mia risposta si basa sul fatto che zzovq.voluumtrk.com non è il tuo dominio, poiché menzioni il contenuto che viene sottoposto a proxy.

Questo è not clickjacking perché il sito sta trasmettendo il tuo sito tramite il proprio dominio ( zzovq.voluumtrk.com ). Pertanto, le difese normali come l'inclusione dell'intestazione X-Frame- possono non funziona in quanto potrebbero essere stripping di tale intestazione tramite il loro proxy. Dipende da quanto sono sofisticati e quanto sono disposti a eludere le difese che hai messo.

Direi che si tratta più di un phishing attacco di stile in cui il sito Web dannoso sta tentando di acquisire credenziali o altri dati sensibili informazioni inviate al o dal tuo sito web.

Un'altra possibilità che si tratti di un tipo di plagio in cui il sito sta cercando di essere pagato per gli annunci pubblicitari che mostrano i tuoi contenuti o che consentono l'uso delle funzionalità del tuo sito tramite il loro proxy.

Dovresti analizzare tutti i log del server che hai e cercare i pattern. Il contenuto di questo dominio proviene sempre dallo stesso IP del server proxy? In tal caso, è possibile bloccare l'IP come soluzione temporanea per vedere se ciò influisce sul loro servizio. A parte questo, c'è poco che puoi fare se non segnalarlo al proprio ISP o intraprendere qualche tipo di azione legale.

    
risposta data 14.05.2015 - 13:27
fonte
1

Nota: ho assunto che il dominio in src si riferisse direttamente al tuo sito web.

Forse clickjacking

Clickjacking, also known as a "UI redress attack", is when an attacker uses multiple transparent or opaque layers to trick a user into clicking on a button or link on another page when they were intending to click on the the top level page.

Un esempio:

For example, imagine an attacker who builds a web site that has a button on it that says "click here for a free iPod". However, on top of that web page, the attacker has loaded an iframe with your mail account, and lined up exactly the "delete all messages" button directly on top of the "free iPod" button. The victim tries to click on the "free iPod" button but instead actually clicked on the invisible "delete all messages" button. In essence, the attacker has "hijacked" the user's click, hence the name "Clickjacking".

    
risposta data 12.05.2015 - 11:15
fonte

Leggi altre domande sui tag