TOP

KYBEZ

Koronavirové eshopy: krásná učebnice webových zranitelností

Koronavirus přinesl celou řadu výzev. Mnoho firem, které nemohou využívat své klasické prodejní kanály,
se najednou vrhlo do světa online obchodu. Jenže spousta e-shopů byla ušita poměrně horkou jehlou a podle toho i vypadají.
Jaké jsou v této oblasti nejčastější prohřešky?

 

Nezabezpečené protokoly  

Mezi nedostatky, které člověk uzří na první pohled, patří bezpečnostní protokoly. Spousta e-shopů používá místo bezpečného
https protokolu stále pouze protokol http. U protokolu http může kdokoliv cizí zaznamenat komunikaci webu se serverem.
Tímto způsobem se dozví o všem, co jste na danou stránku zadávali. Například přihlašovací údaje (jméno, email, heslo), telefon,
číslo bankovní karty, příspěvky v konverzacích a další data. Navíc samotné vyhledávače webové stránky se zastaralým protokolem penalizují. A také bezpečnostní nástroje občas zakáží uživateli přístup na daný web.

 

Hurá šablona 

Hned na začátku zdůrazňujeme, že vyloženě nejsme proti šablonovým řešením. Nicméně postavení e-shopu na nějaké šabloně
vyžaduje dostatečnou pozornost, co se týče přihlašovacích a objednávkových formulářů i dalších míst, kde uživatel zadává své osobní údaje. Spousta šablon obsahuje bezpečnostní nedostatky. U některých řešení pluginy naopak otevírají cestu útočníkům, jak se to stalo
například WordPressu. Při využití šablonových řešení raději web pořádně otestujte, než na něj začnete lákat zákazníky.

 

Děravá administrace

Přihlašování do administrace webu či webové aplikaci patří mezi procesy, které je potřeba řešit co nejsvědomitěji.
Nejvíce chyb se sice v této oblasti dopouštějí “rychloeshopy”, ale nedostatky a díry se nevyhýbají ani velkým hráčům.
Například u americké odnože T – Mobile stačilo pro přihlášení pouze změnit číslo v url adrese, které měl každý zákazník unikátní,
a ihned jste se dostali do administrace jiného zákazníka. Člověk se často dostane do rozpaků, když zkusí změnit adresu
cizího eshopu např. na mujeshop.cz/admin, objeví se před ním přihlašovací formulář, kde zadá známé nejnebezpečnější
přihlašovací údaje (např. jméno: admin, heslo: admin1234) a hned se dostane do celé administrace. Pak už je těžení údajů o zboží,
zákaznících či změna samotného hesla a ovládnutí e-shopu hračka. Představte si, že jste do nového e-shopu dali
desítky tisíc a najednou je vše ztraceno. Jak byste danou situaci řešili?

 

Pokud i vy patříte mezi organizace, které to nyní zkouší s e-shopem a nejste si úplně jistí jeho bezpečností,
zkuste otestovat výše zmíněné nedostatky. Případně se nám ozvěte a můžeme je projít spolu.
Jednou z pokročilých metod jsou pak penetrační testy, které také provádíme.

 

Mohlo by Vás zajímat: