CapSolver नया रूप

मैजकार्ट

मैजकार्ट ऑनलाइन उपयोगकर्ताओं से संवेदनशील भुगतान जानकारी चुराने के लिए आमतौर पर उपयोग की जाने वाली एक क्लाइंट-साइड वेब हमला तकनीक है।

परिभाषा

मैजकार्ट साइबर अपराधी समूह और उनकी संबंधित हमला विधियों के लिए एक सामूहिक शब्द है जो ई-कॉमर्स वेबसाइटों के लक्ष्य के रूप में वेब पृष्ठों में अवैध जावास्क्रिप्ट डालते हैं। इन स्क्रिप्ट कार्यक्रम के ब्राउजर में चलते हैं, जो चेकआउट या फॉर्म सबमिशन के दौरान संवेदनशील इनपुट जैसे क्रेडिट कार्ड संख्या, लॉगिन विवरण और व्यक्तिगत डेटा को बरामद करते हैं। हमला आमतौर पर पहले-पक्ष कोड या तृतीय-पक्ष निर्भरताओं में दोषों के शोषण के माध्यम से होता है, जिसके कारण यह एक सप्लाई चेन के अंदर अंतर्निहित खराबी के रूप में माना जाता है। क्लाइंट-साइड पर अवैध कोड चलता है, इसलिए यह कई पारंपरिक सर्वर-साइड सुरक्षा नियंत्रणों को पार कर सकता है और लंबे समय तक अटैच के बिना रह सकता है। मैजकार्ट हमले वेब स्किमिंग या फॉर्म जैकिंग के रूप में भी जाने जाते हैं।

लाभ

  • अत्यधिक छिपा हुआ, क्योंकि अवैध स्क्रिप्ट ब्राउजर में चलते हैं और आम दृष्टि में उजागर नहीं होते
  • पारंपरिक सर्वर-साइड सुरक्षा तंत्र को पार करने में सक्षम
  • अंतर्निहित तृतीय-पक्ष स्क्रिप्ट के माध्यम से कई साइटों पर पैमाने पर फैलाया जा सकता है
  • न्यूनतम बुनियादी ढांचे के साथ वास्तविक समय के उपयोगकर्ता इनपुट को कैप्चर करने में सक्षम
  • अवैध स्क्रिप्ट के साथ अवैध अंतर्निहित खराबी और लेगिटिमेट स्क्रिप्ट के मिश्रण के कारण पहचान में कठिनाई

नुकसान

  • वेब एप्लिकेशन या सप्लाई चेन में दोषों के शोषण पर निर्भर करता है
  • आधुनिक क्लाइंट-साइड सुरक्षा नियंत्रणों (जैसे CSP, स्क्रिप्ट अखंडता) द्वारा रोका जा सकता है
  • पहचान और ब्लॉकिंग से बचने के लिए लगातार रखरखाव की आवश्यकता होती है
  • हमलावर के बुनियादी ढांचे के तेजी से ब्लैकलिस्टिंग के कारण खुलासा हो सकता है
  • यदि हमलावर की पहचान की जाती है या अटैच किया जाता है, तो विधिक और ऑपरेशनल जोखिम होते हैं

उपयोग के मामले

  • ई-कॉमर्स चेकआउट पृष्ठों से क्रेडिट कार्ड डेटा चुराना
  • खाता अधिकार हस्तांतरण हमलों के लिए लॉगिन विवरण एकत्र करना
  • वेब एप्लिकेशन में संवेदनशील फॉर्म सबमिशन को अवरुद्ध करना
  • स्वचालित डेटा निकासी के माध्यम से बड़े पैमाने पर भुगतान धोखाधड़ी करना
  • वेब स्क्रैपिंग या बॉट-चालित हमला अभियानों में तृतीय-पक्ष स्क्रिप्ट के शोषण के माध्यम से हमला करना