Cyklus zpravodajství o kybernetických hrozbách

Mám web, přes který budu prodávat několik produktů. Je hostován na jednoduchém sdíleném hostování a nemá SSL.

Na stránce produktů má každý produkt a Kup nyní tlačítko vytvořené z mého PayPal Účet obchodníka. PayPal doporučuje použít Továrna na knoflíky k vytvoření zabezpečených tlačítek a uložení uvnitř PayPal sám. Řídil jsem se stejnou radou a kód jakéhokoli tlačítka je bezpečný a nezveřejňuje žádné informace o produktu ani o jeho ceně.

Když uživatel klikne na a Kup nyní tlačítko, je odveden do PayPal web, kde je stránka otevřena v SSL, aby uživatel mohl vyplnit údaje o kreditní kartě a přepravě. Po úspěšné transakci je kontrola předána zpět na můj web.

Chci vědět, zda stále existuje šance, že by mohla být ohrožena bezpečnost.

  • možná zkuste svoji otázku zde: answer.onstartups.com - pro začínající podniky a nové podniky

Prohlédněte si 25 nejnebezpečnějších programovacích chyb CWE / SANS a zvažte možné hrozby, které představuje neoprávněný přístup k vašemu souborovému systému (tj. Co se stane, když útočník na vaše stránky přidá škodlivý Javascript?) - sdílené postupy zabezpečení hostitele se liší obrovsky mezi poskytovateli, takže možná budete chtít zkontrolovat nabídky a postupy vašeho hostitele, pokud máte pocit, že máte důvod k obavám.

Absolutně, ale nepravděpodobné v závislosti na typu produktu.

Mluvíte-li o digitálním produktu / digitálním stahování, jedná se o zcela jinou stránku a bezpečnostní problémy.

Pokud pouze zkontrolujete transakce PayPal a poté ručně provedete něco jako dokončení / odeslání objednávky, měli byste být v pořádku - ale pokud potvrzovací stránka obsahuje nějaký druh skriptu, je možné „předstírat“, že objednávka byla dokončena atd.

Jelikož nejste hostitelem nic společného s platbami, řekl bych, že i kdybyste byli cíleni, jakýkoli druh „problémů“ bude omezen pouze na prostoje, zatímco se budete zotavovat (pravidelně zálohovat), ale měli byste být docela v bezpečí.

  • @Wil: Chystám se prodávat softwarové produkty, ale produktový klíč bude doručen prostřednictvím samostatného e-mailu po přijetí platby.

Seznam odkazů na danlefree je skvělým shrnutím nejběžnějších bezpečnostních problémů v online a offline aplikacích (pravděpodobně dobrý kontrolní seznam pro většinu projektů), ale kromě těchto obecných obav není tolik specifických e-commerce problémy, kterých se musíte obávat, pokud používáte zpracování plateb mimo web, jako je standard PayPal.

Mám na mysli, že pokud je váš uživatel terčem útoku MITM (Man-in-the-Middle), je možné, aby byly jeho platby přesměrovány na účet PayPal útočníka (nebo aby jim byla odcizena pověření PayPal), ale toto je opravdu nepravděpodobný scénář IMO. Pokud však chcete být v bezpečí, může být užitečné získat certifikát SSL a používat jej na celém webu. Hlavní obavy týkající se zabezpečení související s elektronickým obchodem však skutečně vzniknou, až když začnete zpracovávat PII (Personally Identifiable Information) a další citlivé informace na místě. V takovém případě musíte začít používat šifrování TLS, použít zabezpečeného webového hostitele a ujistit se, že dodržujete osvědčené postupy zabezpečení (jako je ukládání pouze hash solených hesel, dodržování PCI-DSS atd.).

Pokud se jedná o váš první web elektronického obchodování, je pravděpodobně nejlepší použít zpracování plateb mimo web a věnovat zvláštní pozornost integračním průvodcům (např. Část o zabezpečení plateb na webových stránkách ve standardním průvodci integrací PayPal). Jedinou další věcí, na kterou si myslím, je vyhnout se používání e-mailů ke správě objednávek. Důvodem je, že je možné, aby uživatel se zlými úmysly zfalšoval e-mail s oznámením objednávky, aniž by skutečně zadal objednávku. Vždy tedy zkontrolujte svůj řídicí panel PayPal, abyste mohli spravovat / ověřovat objednávky.

Pracoval pro vás: Charles Robertson | Chcete nás kontaktovat?