我的团队帮助管理几家电子商务商店。我们一直使用Recurly进行计费。
我注意到他们实现了一种奇怪的安全方法:每个表单输入都包含在Recurly域上的iframe中。在每个iframe中,都有一个唯一的令牌。当用户提交最终订单时,所有信息都会在后端重新分组。
当然,我一直在想办法打破这种局面,更好地保护我们的客户。起初,我认为绕过它是微不足道的,但我被难住了。
在我们客户的服务器上执行代码的人有没有办法通过iframe捕获支付数据?
如果您可以访问服务器,您可以设置一个代理服务器并进行中间人攻击来获取数据。G
javascript python java c# php android html jquery c++ css ios sql mysql arrays asp.net json python-3.x ruby-on-rails .net sql-server django objective-c excel regex ruby linux ajax iphone xml vba spring asp.net-mvc database wordpress string postgresql wpf windows xcode bash git oracle list vb.net multithreading eclipse algorithm macos powershell visual-studio image forms numpy scala function api selenium