Magento 電子商貿網站應用程式保安指引
發佈日期: 2017年01月12日
2226 觀看次數
圖片來源:magento.com
0. 前言
Magento (magento.com) 是一個被線上商店廣泛地使用的電子商務應用程式,為線上購物或電子商務網站提供一個交易平台。
HKCERT 知悉一位來自荷蘭的保安研究員 Willem de Groot (gwillem.gitlab.io) 於 2016 年 10 月發表了一份研究報告,講述有漏洞的 Magento 網站受「線上截取」(online skimming)影響,意思是網絡罪犯可以入侵這些網站內過時的 Magento 程式,截取信用卡資料。部份網站是寄存於本港或與本港網絡環境有關。本指引旨在向線上商店提供復原及保護 Magento 程式的建議。
1. 受影響的網站所面對的保安威脅
根據該研究報告,過時或未修補的 Magento 程式會面對以下的保安威脅:
- 針對網站原始碼的 JavaScript「wiretap」:罪犯能截取信用卡及其他付款資料 (2016年10月)
- Visbot 惡意程式:罪犯能截取信用卡及其他付款資料,甚至控制網站 (2016年12月)
2. 被入侵的 Magento 程式所帶來的商業影響
該研究報告指出,網絡罪犯對被入侵的 Magento 程式內的付款及信用卡資料垂涎。因此,程式入侵會對商店及其客戶造成財物損失,商店亦可能因客戶蒙受金錢上的損失或敏感資料的外洩而被索償。
3. 如何復原被入侵的 Magento 程式
- 檢查你的 Magento 程式 是否受漏洞影響或已被入侵。請使用 MageReport (https://www.magereport.com/) 檢視網站的保安狀態。
- 依照以下指示來復原被入侵的 Magento 程式:
- 如何修復被入侵的 Magento 商店(只有英文版本)
- 如何修復惡意 JavaScript 信用卡資料外洩?(只有英文版本)
- 你亦可使用一些掃瞄工具找出並修復網站的其他漏洞。
4. 預防 Magento 程式的入侵
- 確保你的 Magento 程式安裝了最新的保安修補 (magento.com/security)。
- 確保網站的其他部分如伺服器的作業系統、網站伺服器等得到最新的修補。
- 定期使用上述的工具進行網站漏洞掃瞄。
- 以業內或高認受性的標準進行保安評核,例如 OWASP 10大準則或 PCI DSS (適用於信用卡行業)。
5. 因應入侵建議的潛在跟進措施
- 若懷疑有資料外洩的情況,應考慮依照相關程序通知個人資料私隱專員公署。
- 若懷疑有財物損失,應考慮到附近的警署備案。
分享至