Регулярное проведение тестов на проникновение на сайтах электронной коммерции обеспечивает хороший уровень безопасности. Это необходимо для обеспечения надлежащего функционирования сайта, а также для поддержания имиджа бренда компании среди клиентов. Однако проблемы безопасности настолько многочисленны, что иногда необходимо определить приоритеты.
Ниже приводится краткий обзор основных проблем безопасности сайтов электронной коммерции. Приоритеты, на которых будет сфокусирован тест на проникновение, должны быть определены в соответствии с конкретным функциональным и техническим контекстом каждой платформы электронной коммерции. Это первый шаг к определению масштаба теста.
Безопасность платежного сервиса
Это важнейший момент, который должен быть основан на признанном и сертифицированном по PCI DSS решении. Интеграция решения с платформой электронной коммерции должна быть протестирована, чтобы избежать ошибок, которые могут привести к нарушению безопасности, в частности сбора банковских данных, которые должны соответствовать тому, что издатель запланировал и задокументировал для использования решения (формы, шифрование и т.д.).
Безопасность пути клиента
Весь путь клиента должен регулярно проверяться для защиты от различных попыток мошенничества. От подтверждения заказа до подтверждения деталей доставки. Это предполагает поиск технических недостатков (OWASP), а также логических недостатков (возможности обхода функциональной логики, предусмотренной для пользователей сайта).
Безопасность персональных данных
В конкретном контексте электронной коммерции конфиденциальность данных о заказах (кто что покупает?) также может быть очень важной для защиты частной жизни. Дефекты инъекций являются наиболее распространенным примером доступа к базе данных, но необходимо учитывать и другие типы уязвимостей, такие как неправильная конфигурация инфраструктуры или использование уязвимых компонентов.
Обеспечение целостности каталога
Это еще одна чувствительная область, которая может привести к значительным потерям в случае атаки с целью повреждения или удаления данных. Недостатки, которые потенциально могут быть использованы злоумышленниками, бывают разных видов: инъекции, неправильная конфигурация серверов или возможности аутентификации в бэк-офисе и т. д.
Обеспечение непрерывности обслуживания
В случае перерыва в работе, чем больше оборот платформы, тем больше потери бизнеса. Или если прерывание происходит в ключевой период (Рождество, Черная пятница и т. д.). Таким образом, возможность попытки DoS-атаки должна быть проверена.
Противодействие перенаправлению трафика
Атаки, направленные на перенаправление пользователей на вредоносный клон, наносят ущерб как сайту электронной коммерции, так и его клиентам. Важно проверять уязвимости, связанные с самим сайтом (например, XSS-уязвимости), а также информировать посетителей сайта о рисках социальной инженерии (например, о важности проверки доменных имен, включая правильность написания).
Смежные вопросы безопасности
Мосты между сайтом электронной коммерции и логистикой также должны быть проверены. В целом, плохо защищенная платформа электронной коммерции может также быть шлюзом к другим частям внутренних ИТ компании.
Другие точки входа
Помимо основного сайта электронной коммерции (www), другие приложения могут представлять собой точки входа для злоумышленника: бэк-офис управления, доступ к партнерам, API, платформа публичного доступа и т. д. Чем более защищен основной сайт, тем больше вероятность того, что злоумышленники будут искать другие приложения, безопасностью которых можно пренебречь.
Сайты электронной коммерции на базе фреймворков или CMS
В случае сайта, разработанного с использованием такого решения, как Magento или Prestashop, особенно важно проверить конфигурацию решения, выбор плагинов, обновления и любые специфические разработки.
Какова стоимость теста на проникновение на сайт электронной коммерции?
Стоимость теста на проникновение на сайт электронной коммерции зависит от функциональной сложности рассматриваемой платформы.
Можно провести более быстрый анализ, чтобы уложиться в меньший бюджет. Однако если основной сайт электронной коммерции связан с другими элементами, такими как партнерская площадка, бэк-офис и т. д., то цена будет выше, чтобы обеспечить безопасность всей экосистемы.
Также можно запланировать годовой бюджет на проведение регулярных тестов на проникновение на критически важном сайте электронной коммерции и/или в различных частях его экосистемы.