个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
24
4
The way the transaction signing that was compromised works is that once a payment request has been initiated by an online banking user, the bank asks the user to sign his/her transaction on a dedicated out-of-band EMV CAP reader with the user’s EMV Chip card inserted. The user is asked to enter certain codes and values on the reader confirming the currency amount to be transferred and the account it is to be transferred to.
Well the crooks knew when the transaction signing was being initiated and simply put an iframe up on top of the user’s browser that changed the values to be entered so that the users ended up typing in the fraudster’s bank account as the destination account rather than the one they intended.
Something to think about when it comes to transaction signatures – demonstrating the need to keep the entire process off the PC (in this case) and on another channel entirely.
您能否解释一下如何“将 iframe 置于用户浏览器之上”以及如何从技术上防止此类欺诈?
最佳答案
从引文中尚不清楚,但听起来他们正在谈论消费者端点妥协。用户感染了银行特洛伊木马,因此他们的 PC 已成为不受信任的设备,可以显示误导性信息。在这种情况下,特洛伊木马操作者更改了显示的目标帐号,以便资金流向与用户认为的贷方不同的一方。
要点是,用于做出安全决策的完整用户界面必须驻留在受信任的设备上。从 PC 向安全设备输入信息使用户有机会检查信息是否正确,屏幕上显示已授权信息的设备也是如此。
但有一个缺失的部分是,消费者通常不知道他们输入的帐号确实是他们想要贷记的一方的帐号。除非他们之前与该方进行过多次交易,这样他们就可以记住帐号并在错误时发现它(即使这样也不一定会引起注意)。
为了纠正这个问题,帐户 ID 必须是可识别的,例如其发行受到控制的域名,而不是任意数字。不过,这会给任何必须输入信息的独立设备带来问题,因为它需要全尺寸键盘。您可以使用仅显示的设备来完成此操作,例如德国的 TAN 生成器,它可以从屏幕上读取信息,或者您可以使用非常长的帐号来完成此操作,该帐号被解码为可读的内容,并进行签名以防止未经授权的更改。
一旦整个决策在安全设备上做出,包括转账金额和用户可验证目的地,不可信中介(您的电脑作为中间人)的问题就解决了并且交易是安全的。
尽管该信息不包括交易的目的,因此您仍然可以想象经销商更改您在特定商店购买的实际商品而不改变成本的攻击!
关于javascript - 防止 iframe 安全问题,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/10475135/
24
4
0
我有一个应用程序,其中许多对象都扩展了一个抽象类,该抽象类定义了诸如 create() edit() retrieve() 和 delete()。由于每个子类对这些函数使用相同的逻辑,抽象类定义了默认
我正在使用$anchorScroll滚动到页面顶部,其中 html 元素具有 ID #brand。 AngularJS 代码: $location.hash(
我想停用我的应用程序中的右键单击,该右键单击提供了在桌面上安装应用程序的选项。我该如何做这样的事情? 最佳答案 右键单击 Visual Studio 中的项目并选择属性。那里有一个复选框“启用浏览器运
我使用 jquery 定位 div,在我的 CSS 中我有一个 div.right-sm:hover{background-color: blue} 我想使用 jquery 停止悬停: $(this
所以,我正在尝试复制 html5“占位符”属性功能。 我目前坚持的一件事是,在获得元素焦点时,插入符号立即出现在输入的开头。 就目前情况而言,插入符号出现在用户单击的位置,然后当我使用 jQuery
当表单填写并发送时,如果您刷新页面,它表示表单将再次发送。 (再次提交表格)。 防止这种情况发生的好方法是什么?或者终止这个 session ? 这方面有什么指导吗? 谢谢 最佳答案 处理完POST信
我想阻止 @ 被输入到 input 中。但它不起作用,知道为什么吗? $(function() { $(document).on('keyup', '[placeholder="x"]', fun
我正在使用 PHP 创建一个应用程序并涉及 MySQL。如果在请求过程中发生错误,我将如何“将查询分组在一起”,检查它是否会成功,然后对真实表进行实际影响。如果对表的实际更新失败,则恢复到更新之前的状
这个问题在这里已经有了答案: 关闭 11 年前。 Possible Duplicate: Best Java obfuscator ? 对于我的示例,我知道 eclipse 提供了一个反编译插件。而
这是一个演示我的问题的 fiddle :JSFiddle 我正在制作自定义下拉菜单(实际上我使用的是 icomoon 图标而不是 V)...它看起来不错,但是父元素的 ::after 是阻止选择:(
每当我编写需要大量条件的代码时,我都会这样做: if foo: if bar: if foobar: if barfoo: if foobarfoo:
我不确定术语是否正确,您可以使用哪些代码实践来使某人难以修改二进制文件/程序集以绕过检查: 例如在源代码中。 bool verificationResult = verify(); if (verif
我正在寻找一种简单的方法来检查多个零件表,以确定给定零件号在添加到给定表之前是否已经存在。 我目前想到的最好的想法是一个辅助表,它简单地将所有表中的每个 PN 列在一个列中,并带有一个唯一的键;但是我
这个问题在这里已经有了答案: jquery stop child triggering parent event (7 个答案) 关闭 8 年前。 我不确定这是否真的冒泡,我会解释。 我有这个:
我有一个 Spring MVC web 应用程序(不确定该信息是否重要,但它可能是)使用 ModelAndView 将字符串值传递给 JSP 文件。 字符串值的形式是: d@.
我在这里尝试使用表单 key 方法进行 csrf 保护 http://net.tutsplus.com/tutorials/php/secure-your-forms-with-form-keys/
htmlentities 是防止 PHP 中的 XSS 的最佳解决方案吗?我还想允许像 b、i、a 和 img 这样的简单标签。实现这一点的最佳解决方案是什么?我确实考虑过 bbcode,但发现如果没
我有一个非常基本的 JAX-RS 服务(下面的 BookService 类),它允许创建 Book 类型的实体(也在下面)。 POST负载 { "acquisitionDate": 14188
我正在使用 Polymer 1.5,我确实需要“this”变量不要映射到外部。我知道 typescript 会为某些人做这件事 valid reasons . declare var Polymer:
这个问题在这里已经有了答案: Class-level read-only properties in Python (3 个答案) 关闭 6 年前。 有没有一种方法可以通过重写实例变量的 __set
我是一名优秀的程序员,十分优秀!