Beskytter din butik mod kryds-script-angreb

At få adgang til login data som et brugernavn, adgangskode eller et token er et fælles mål for script-angreb på tværs af websteder. Hvis en tyv kan stjæle dem, kan han få adgang til en brugers kontooplysninger.

At få adgang til login data som et brugernavn, adgangskode eller et token er et fælles mål for script-angreb på tværs af websteder. Hvis en tyv kan stjæle dem, kan han få adgang til en brugers kontooplysninger.

Sikkerhed er afgørende for alle e-handelswebsteder. Et brud på kundens betalingsdata eller personlige oplysninger kan dræbe en virksomhed.

Men et e-handelssite har også andre sikkerhedsrisici. En fælles er cross-site scripting. Ethvert websted, der bruger formularer, søgning eller endda en administrativ backend er sårbar - hovedsagelig hver online butik.

Ethvert websted, der bruger formularer, søgning eller endda en administrativ backend er sårbar ...

Der er mange former for cross-site scripting, eller XSS. Det sker, når en angriber tilføjer kode til en webside, og koden kører så i en intetanende bruger, der forårsager skade. Nitten og ni procent af tiden denne kode er JavaScript.

En webside er sårbar over for et XSS-angreb, når det ikke fjerner brugerens indtastning korrekt. Hvis en kommentarformular f.eks. Tillader nogen at tilføje HTML, kan en hacker sende en kommentar, der indeholder angrebskoden.

Den fælles måde at gøre dette på er at tilføje et JavaScript kilde link ved hjælp af script tag. Dette vil få browseren til at downloade og køre JavaScript, som derefter kan stjæle brugerens data.

Mål for XSS

Godkendelsesdata som et brugernavn, en adgangskode eller et token er et fælles mål. Hvis en angriber kan stjæle dem, kan han logge ind som bruger med fuld adgang til brugerens konto.

Angregeren kan for eksempel ændre forsendelsesadressen for en tilbagevendende ordre eller bruge et kort på fil til at foretage svigagtige ordrer. Når angriberen logger ind, bliver det meget svært at fortælle forskellen mellem den legitime bruger og angriberen.

En måde at registrere er at spore den sædvanlige placering af en bruger og sammenligne den med angriberen. Hvis brugeren logger ind fra Texas, og der pludselig er mange logins fra en anden stat eller et land, er det et tegn på, at kontoen er blevet hacket.

XSS-angreb, der stjæler en administrators autentificeringsdata, er endnu mere kritiske. Med administrativ adgang kan en angriber som eksempler oprette hundredvis af bedrageriske ordrer, ændre, hvordan betalingskvitteringer bliver sendt, eller slet ethvert stykke data i din butik.

Dette er det værste tilfælde. Det er også en grund til at have stærke sikkerhedspraksis for administratorkonti.

XSS-angreb, der stjæler en administrators autentificeringsdata, er endnu mere kritiske.

Din butik samler andre data, såsom adresse og ordreoplysninger. De kan ikke være lige så kritiske som betalingsdata eller login-data, men det kan dog forårsage et stort kundeservice problem, hvis de overtrædes. Det er især tilfældet, hvis kunden er en berømthed. Oplyse hendes hjemmeadresse eller hvilke produkter hun bestilte kunne producere en skandale.

Forebyggelse af XSS Attacks

At forhindre XSS-angreb er ikke let. Alle former for brugerindgang kan være en sikkerhedsrisiko. Med stigningen i brugergenereret indhold er internettet meget mere interaktivt. Således er XSS-angrebene almindelige.

En god måde at forhindre XSS-angreb på er at rydde op alle data, der indtastes af en bruger. Det kaldes "input sanitizing." Det fjerner eller gøres uskadelig enhver HTML eller JavaScript fra en bruger. Mange kodebiblioteker og e-handelsplatforme gør det som standard.

Problemet er, at input sanitizing begrænser, hvad en retmæssig bruger kan indtaste. Det kan for eksempel begrænse en bruger til at modbevise bestemte ord i en blogkommentar eller linke til en anden side.

At tillade kun et par tilsyneladende sikre tags kan være risikabelt. Selv ikke-JavaScript-tags som et link eller billede kan udløse en omhyggeligt udformet XSS.

Mange XSS-angreb vil forsøge at stjæle en brugers godkendelse småkager. Der er en simpel, indbygget beskyttelse kaldet "HttpOnly", der forhindrer JavaScript i at få adgang til cookies. Det er en mulighed for den cookie, der skal indstilles. Det vil blokere dit eget JavaScript fra at bruge det også, men det er en nem måde at tilføje et andet lag af beskyttelse på.

Hvor sårbar?

XSS kan angribe de fleste e-handelswebsteder. Det er ligegyldigt, om det kører open source, en vært platform eller købt software.

Open source-systemer er normalt hurtige til at rette en XSS eller et andet sikkerhedsproblem. Mange vil hurtigt frigive en ny version. Minimer din risiko ved at holde dine systemer opdateret.

Hosted platforme Du skal også straks adressere XSS-spørgsmål. Mange gange sælgerne ikke ved, at et sikkerhedshul blev rettet, da deres websteder automatisk blev opgraderet. En downside af vært platforme er, at den samme software normalt driver hver butik. En angriber kan således opdage adgang til en butik og derefter angribe alle andre websteder på platformen.

Kommerciel software sikkerhed varierer. De gode vil straks frigive en ny version, når et sikkerhedsproblem er løst. Men en købmand kunne være på krogen for opgraderingen.

XSS-sårbarhed gælder også for plugins, apps og tredjepartssystemer. Hvis du bruger en populær app, vil den sandsynligvis blive opgraderet og sikret hurtigt i tilfælde af et XSS-angreb.

Endelig, hvis din butik bruger brugerdefineret kode, falder alt dette på dig og dit team. Der er mange fælles praksis for udviklere at revidere din kode og sikre den. Selv da kunne du stadig scramble lejlighedsvis.

Kilde

Giv en kommentar

Dette websted bruger Akismet til at reducere spam. Lær, hvordan dine kommentardata behandles.