是否可以在web日志中检测到交叉原点

Question

最近的一篇博客文章显示，黑客拥有一台网络服务器--至少是内容--并注入了一次网络浏览攻击。https://blog.malwarebytes.com/hacking-2/2020/03/criminals-hack-tupperware-website-with-credit-card-skimmer/

这应该在web服务器日志中被检测到吗？这些坏人在浏览后重定向到合法的结帐页面，因为他们控制了主页面，引用url在那里看起来很正常，但是会有任何恶意的iframe请求被记录下来吗？

我希望deskofhelp.com能在某个地方显示一些日志条目--假设web日志是完整的？

Answer 1

我不知道是怎么回事。在创建iframe时，GET请求将发送到iframes src，但不会发送到承载iframe的服务器。

因此，deskofhelp[.]com可能会在其日志中使用tupperware.com作为引用头，而不是相反。

可以使用frame-src CSP指令与report-uri (或较新的report-to)相结合来记录跨源帧，但似乎tupperware.com根本没有使用CSP。

Answer 2

这归结为预期的交互流应该如何工作。例如，如果最终用户对流进行重定向，然后突然返回，则从日志中可以看到这一点，但前提是您可以重新构建用户旅程。如果突然有大量的用户似乎没有遵循构建用户交互流的方式，那么您可以看出存在一个问题。