一位安全研究人员发现了一种由黑客设计的新颖方法，可以使用Google自己的工具来获取电子商务购物者的信用卡详细信息。

在分析网络安全公司Sansec的数据时，埃里克·布兰德尔（Eric Brandel）发现黑客正在使用Google的Apps Script域对任何内容安全策略（CSP）控件都是合法的。

“滥用Google Apps脚本的有趣之处在于端点是script [。] google [。] com，” Brandel在Twitter上分享。

滥用信任

CSP有助于确定受信任的来源，以防止跨站点脚本和其他类型的代码注入攻击。但是，在这种情况下，黑客设法通过伪装在受信任域的后面来欺骗控件。

布兰德尔（Brandel）发现，黑客利用了这样一个事实，即几乎所有在线商店都将在各自的CSP配置中将所有Google子域列入白名单。他们滥用这种信任来使用App Script域将窃取的数据路由到他们控制下的服务器。

这不是在线欺诈者第一次依靠Google域名和服务的声誉。根据报告，臭名昭著的网络犯罪集团滥用Google服务（例如Google表格和Google Forms）进行恶意软件的命令和控制通信。

去年，Sansec发现了一个完全在Google服务器上运行的网络掠夺活动，该活动将被盗的信用卡信息发送到Google Analytics（分析）。

Brandel表示，他能够在几分钟内复制最新滥用行为的设置，并高兴地补充道，现在是时候Web开发人员应该停止配置其CSP来信任Google子域了。