跳至主內容

Magento 電子商貿網站應用程式保安指引

發佈日期: 2017年01月12日 2226 觀看次數

 

圖片來源:magento.com

 

0. 前言

Magento (magento.com) 是一個被線上商店廣泛地使用的電子商務應用程式,為線上購物或電子商務網站提供一個交易平台。

 

HKCERT 知悉一位來自荷蘭的保安研究員 Willem de Groot (gwillem.gitlab.io) 於 2016 年 10 月發表了一份研究報告,講述有漏洞的 Magento 網站受「線上截取」(online skimming)影響,意思是網絡罪犯可以入侵這些網站內過時的 Magento 程式,截取信用卡資料。部份網站是寄存於本港或與本港網絡環境有關。本指引旨在向線上商店提供復原及保護 Magento 程式的建議。

 

1. 受影響的網站所面對的保安威脅

根據該研究報告,過時或未修補的 Magento 程式會面對以下的保安威脅:

  • 針對網站原始碼的 JavaScript「wiretap」:罪犯能截取信用卡及其他付款資料 (2016年10月)
  • Visbot 惡意程式:罪犯能截取信用卡及其他付款資料,甚至控制網站 (2016年12月)

 

2. 被入侵的 Magento 程式所帶來的商業影響

該研究報告指出,網絡罪犯對被入侵的 Magento 程式內的付款及信用卡資料垂涎。因此,程式入侵會對商店及其客戶造成財物損失,商店亦可能因客戶蒙受金錢上的損失或敏感資料的外洩而被索償。

 

3. 如何復原被入侵的 Magento 程式

 

4. 預防 Magento 程式的入侵

  • 確保你的 Magento 程式安裝了最新的保安修補 (magento.com/security)。
  • 確保網站的其他部分如伺服器的作業系統、網站伺服器等得到最新的修補。
  • 定期使用上述的工具進行網站漏洞掃瞄。
  • 以業內或高認受性的標準進行保安評核,例如 OWASP 10大準則或 PCI DSS (適用於信用卡行業)。

 

5. 因應入侵建議的潛在跟進措施

  • 若懷疑有資料外洩的情況,應考慮依照相關程序通知個人資料私隱專員公署。
  • 若懷疑有財物損失,應考慮到附近的警署備案。