iframe安全盲区：支付信息窃取攻击的新温床

核心发现

攻击者正利用恶意覆盖层技术绕过安全策略，通过支付iframe窃取信用卡数据。近期针对Stripe支付系统的攻击已入侵数十家商户，这些像素级复制的虚假表单成功规避了传统安全防护。

2024年Stripe窃取攻击剖析

支付iframe本应是隔离信用卡数据的安全沙箱，但攻击者通过入侵宿主页面实现绕过。2024年8月的Stripe攻击活动中，攻击者通过WordPress等漏洞平台注入恶意JavaScript脚本，隐藏合法Stripe iframe并替换为高仿真的恶意覆盖层。

该攻击已入侵49家商户，通过废弃的Stripe API实时验证被盗卡片，使窃取行为对用户完全隐形。更严峻的是，18%的网站直接在支付iframe内运行Google Tag Manager等工具，形成巨大安全盲区。

新型攻击技术揭秘

现代框架在解决传统威胁的同时，也引入了iframe新漏洞：

• 供应链攻击：针对可信支付处理器的入侵
• 单页应用中的DOM注入：绕过服务器端防护
• CSS数据渗出：通过样式操纵逐字窃取
• AI提示注入