WordPressの管理者がアクセスしている際にはスキミング機能が消える

攻撃者が用意したスクリプトは、MutationObserverを使用してDOMの変更を検知して自動的に実行される関数がある。

この関数はあるDOM要素が存在するがどうかをチェックしていて、何を監視するかっていうとWordPressの管理者バー(wpadminbar要素)。つまり、管理者がログインしてページにアクセスしているかどうかをチェックしている。

管理者がアクセスしていると完全に改ざんスクリプトを削除。管理者によるアクセスでなければ、インジェクションされたスクリプトが通常通り実行される。

wordpressってそんなことできるんだ。これは凄い。

通常、顧客から問題があった際に管理者が問題があるか確認するだろうが。その際には何も起こらず、顧客がアクセスしたときだけ問題が発生する状況が出来がっている。

「何て人騒がせな人なんだ。」と思ったら、本当にそういうことが起こっているかもしれないってこと。

Stripeの支払いのときだけ決済画面を改ざん

Stripeの決済が選択されたことを検知したら、style.display = "none"で非表示にする。iframeを作って、偽Stripe決済フォームを表示。

そのページにクレジットカード情報を入力するとエラー表示となる。しかし、そのあと直ぐに本物のStripe決済フォームが表示される。

ログインとかのフィッシングフォームでも、正しいものを入力しても一度エラーというメッセージを出して本物のページに飛ばすのは知っているが、クレジットカードでもあるんだ。それ。

やっぱり、一度やられると同じ事象には敏感になる。

なので、クレジットカード決済系の攻撃と防御も勉強するようになったし、PCがハッキングされたからサイバーセキュリティも勉強するようになった。

皆さんも一度ハッキングされてみると良いと思います。