来自Iframe的网站安全漏洞

Question

我知道在以下情况下，我的网站正被第三方web应用程序攻破：

1. 我的用户将凭据放到第三方web应用程序中。
2. 第三方网络应用程序违反了我的X框架选项拒绝策略通过谷歌Chrome扩展。这是我的网站的框架。
3. 第三方web应用程序然后用用户提供的凭证登录到我的网站。
4. 第三方网络应用程序向我的网站提交信息。

在这种情况下，在我的日志文件中，我是否可以看到第三方应用程序正在访问我的安全站点中的哪些页面，以及是否存在该应用程序是否正在从我的安全网页中提取信息？

另外，任何关于如何阻止这个第三方web应用程序的提示都是非常感谢的。

谢谢你的意见！

Answer 1

您可以攻击扩展

我认为有可能杀死其他javascript脚本，如下所示：

• 去他妈的阿德布洛克
• 操他妈的阿德布洛克
• 去他妈的阿德布洛克

等

我不清楚这是如何工作的，但是如果您知道这个脚本的名称/或者得到它的副本，您可以很容易地开始一种针对这个铬扩展的“军备竞赛”。

您可以尝试识别浏览器应用程序

然后把他们列入黑名单，但这可能只会引发军备竞赛，在那里他们会为你的对策找到对策等等。

，您可以使用它们的应用程序

如果你能掌握他们的剧本和东西，你肯定可以用以下的方式来对付他们：

• 识别他们是如何获得密码的，并提供虚假的信息。
• 其方法的失败概率
• 登录后收集更新信息的蜂巢区域，他们的脚本可能已经收到

您可以添加两个因素的身份验证/ ip登录内容

2FA是黑客的一道砖墙。

你可以毁了自动化

为了获得密码，他们可能在刮字段的标识符。机器人我使用getelementbyid，所以如果您可以动态生成用户名和密码字段ID，这可能会让黑客感到沮丧。不过，对于使用密码自动填充的人来说，这可能真的很令人沮丧。

最后笔记

无论如何，您的优先事项是

• 把你的手放在他们的密码上
• 想出一种方法来识别他们的登录尝试
• 他们的IP、传唤他们的ISP等

有了这些东西，你可以做任何事情，包括玩‘先生被动攻击’，在那里你可以把黑客的会话转移到一个不同的gui，与其他人相比，在50%/50%的时间里，黑客无法获得任何信息/获取错误信息。或者使用上面列出的任何方法。在任何情况下，都会使他们难以识别您使用的方法。如果你太难成为目标，他们就会继续找别人。