Referenzen

Dokumentation

PCI DSS v4.0 Standard — Vollständige Standarddokumentbibliothek
Anforderung 6.4.3 — Verwaltung aller Skripte auf Zahlungsseiten: Inventar pflegen, schriftliche Genehmigung und Begründung bereitstellen, Integrität überprüfen
Anforderung 11.6.1 — Manipulationserkennungsmechanismen auf Zahlungsseiten einsetzen, um bei unbefugten Änderungen an HTTP-Headern und Seiteninhalten zu warnen

OWASP Risiken der clientseitigen Sicherheit — OWASP-Leitfaden für Tests der Webanwendungssicherheit
Magecart-Bedrohungsforschung — Übersicht über Magecart-Gruppen und digitale Skimming-Kampagnen
British Airways Datenpanne (2018) — Magecart-Gruppe 6 injizierte einen Skimmer in die BA-Zahlungsseite und kompromittierte 380.000 Transaktionen
Ticketmaster Datenpanne (2018) — Supply-Chain-Angriff über ein kompromittiertes Inbenta-Chatbot-Skript, das Zahlungskartendaten abfing

OWASP Clickjacking — Definition und Prävention von UI-Redressing-Angriffen
OWASP Man-in-the-Browser — Browser-basierter Abfangangriff
OWASP Cross-Site Scripting — Taxonomie von Skript-Injektionsangriffen
MITRE ATT&CK T1195 Supply-Chain-Kompromittierung — Framework für Supply-Chain-Angriffe
MITRE ATT&CK T1185 Man-in-the-Browser — Browser-Manipulationstechnik
MITRE ATT&CK T1496 Ressourcen-Hijacking — Cryptojacking-Klassifizierung
MITRE ATT&CK TA0010 Exfiltration — Taktik zur Datenexfiltration
Akamai Web Skimming — Übersicht über digitales Skimming
Sansec Magecart-Forschung — Magecart-Gruppen und -Kampagnen

OWASP Top 10 Risiken der clientseitigen Sicherheit — Projekt zu den wichtigsten clientseitigen Sicherheitsrisiken