为什么保护你的Magento电子商务网站如此重要
相关标签: # java# 研究# 数据# 信息# 扫描
针对电子商务网站受害者的传统方法是使用“网络钓鱼”攻击通过社交媒体和电子邮件。但是由于人们对网络钓鱼攻击威胁的认识提高,黑客现在发现了新的方法—;通过恶意攻击人们认为安全可靠的合法网站。
如今,互联网上有许多现成的电子商务平台,它们很容易安装和管理,而且不需要额外的成本马根托“是其中最受欢迎的。
对Sucuri的安全研究人员在Magento电子商务网站中发现了一个恶意代码,该代码旨在将客户在结账过程中提交的所有数据发送到第三方网站,如下“灵魂魔法。BIZ。Fozzyhost。COM/Add."
黑客们在该网站上额外添加了50行代码:
app/code/core/Mage/Payment/Model/Method/Cc。php文件在prepareSave()函数,您可以在下面看到:
app/code/core/Mage/Payment/Model/Method/Cc。php文件在prepareSave()函数,您可以在下面看到:
幕后到底发生了什么?
与大多数Magento网站一样,研究人员扫描的网站有一张结账表,要求提供客户的信用卡详细信息。
但是,Magento会对这些信息进行加密并保存,然后将其发送到支付网关,以完成用户的交易。
但是,至少从提交结账单到加密用户付款细节之间的时间当Magento以明文形式处理客户的敏感信息时,黑客注入的代码会将这些未加密的数据发送到第三方地址。
不仅针对Magento网站
研究人员还发现,黑客在Joomla网站的Joomla捐赠扩展中注入了一个非常类似的代码,以便使用java-e-shop。com/add."
此外,所有电子商务解决方案,包括CMS、插件和扩展,如果直接在网站上请求客户的信用卡详细信息,而不是将其重定向到支付网关,同样容易受到此类网络攻击。
黑客很容易在网站的合法代码中添加几行恶意代码,试图将客户的敏感信息转储给有害的第三方。
然而网店的顾客并不是唯一的目标,或:
"当黑客设法破坏电子商务网站时,网站所有者也可能遭到抢劫“Sucuri的研究人员写道。
黑客用自己的账户替换网站所有者的PayPal账户的案例有很多。因此,每次客户购买东西时,网站所有者都会永远不要收到资金."
网上购物者可以通过以下步骤保护自己免受这种威胁:
- 不要在提供自己页面的网站上输入您的付款详细信息.相反,你更喜欢那些将你重定向到PayPal、支付网关或银行提供的支付网关的网站来完成交易。
- 仅使用具有附加身份验证级别的信用卡.使用支持额外安全层的支付卡,如Visa 3-D Secure、MasterCard SecureCode或您银行自己的2FA服务。
- 检查网站是否存在任何安全问题。这可以通过浏览互联网或使用以下链接查看谷歌网站的安全浏览信息来实现:https://www.google.com/safebrowsing/diagnostic?site=example.com例如,com是您要检查的网站的域名。
电子商务网站的所有者可以通过以下步骤保护自己免受这种威胁:
- 不允许客户在您的网站上处理付款详细信息。将支付外包给值得信赖的第三方服务,如PayPal、Stripe或Google Wallet,这样,如果黑客侵入你的网站,他们就无法窃取你客户的信用卡详细信息。
- 在网站安全方面使用最佳实践,包括为网站的每个元素提供强大且唯一的密码,积极维护和更新网站防火墙,并监控网站的安全问题。
- 积极主动,如果你的网站遭到黑客攻击,请立即寻求帮助,因为你不能让客户的钱和你的声誉都处于危险之中。
特别声明:以上内容(图片及文字)均为互联网收集或者用户上传发布,本站仅提供信息存储服务!如有侵权或有涉及法律问题请联系我们。
举报
