Компания «Информзащита», лидер на рынке ИБ-услуг, провела анализ защищенности веб-приложений интернет-магазинов.

Крупные распродажи и предпразничная покупательская активность время, когда нужно быть очень внимательными. Киберпреступники в этот период особо активизируются и помимо создания сайтов-клонов и активной фишинговой рассылки практикуют проникновения на площадки интернет-магазинов. И если в сети много рекомендаций для покупателей о фишинговых сайтах, то защищенность реальных интернет-магазинов часто отходит на второй план.

А ведь деятельность хакеров приносит значительные убытки интернет бизнесу. Компрометация персональных и платежных данных несет в себе репутационные риски. DDoS-атаки на сайт могут вывести его из строя на несколько часов или дней в зависимости от уровня причинённого вреда. Это в своё очередь несет крупные финансовые потери особенно это ощущается в период праздников и высокой покупательской активности. Мошенничество с бонусными баллами также несет немалые убытки. Крупные ритейл компании уже научились защищаться от данного типа мошенничества, а вот средний бизнес сейчас находится в объективе внимания хакеров.

Безопасность интернет-магазинов

В своем обзоре мы хотим разобрать один из кейсов по проверке защищенности интернет-магазина. Основная цель – акцентирование внимания на наиболее критичных уязвимостях, для эксплуатации которых злоумышленнику достаточно иметь средний уровень квалификации и доступ в сеть Интернет. При этом эксплуатация выявленных уязвимостей может привести к значительным финансовым потерям и в целом негативно отразится на бизнесе компании.

Крупный интернет-магазин обратился к нам со следующей проблемой. Один из пользователей смог каким-то образом купить телевизор стоимостью в 185.000 р за 1 рубль. И грозился подать претензию если ему не доставят его в ближайшее время. В наши задачи входило расследовать этот инцидент и понять, как ему это удалось.

Проверка защищенности веб-приложения проходила по стандартной схеме:

  • поведение автоматической проверки веб-приложения с использованием сканеров уязвимостей веб-приложений;
  • проведение ручных проверок и оценка защищенности от наиболее опасных и популярных атак с использованием уязвимостей;
  • построение векторов атак;
  • проведение тестовых попыток эксплуатации обнаруженных уязвимостей;
  • поиск любых возможностей, которые могут нанести вред бизнесу или его клиентам;
  • в случае получения соответствующего доступа проводится анализ информации, имеющейся на веб-сервере, осуществляется поиск критичных данных и оценивается возможность проведения мошенничества с помощью полученных доступов;
  • поиск раскрытий внутренней информации веб-приложения и т. д.

В ходе анализа защищенности веб-приложения (сайта) наши специалисты нашли способ изменять содержимое сайта посредством уязвимости класса XSS (межсайтовый скриптинг). Данная уязвимость дает возможность хакерам изменять главную страницу сайта, заражать вредоносным ПО браузер пользователя и похищать пользовательские данные. Наши специалисты, используя уязвимость, продемонстрировали возможность похитить логин и пароль к сайту магазина, а также данные банковской карты.

Это безусловно серьезная дыра в безопасности магазина, но учитывая проблематику инцидента это не тот путь, которым пользовался злоумышленник. И мы продолжили поиски.

Дальнейшее расследование показало, что помимо атак на пользователей, у киберпреступника была возможность атаки и на саму инфраструктуру магазина. В ходе работ мы нашли уязвимость класса SSRF (подделка запросов от имени сервера). Эта уязвимость позволяет злоумышленнику атаковать внутренние системы магазина, так будто все они доступны из сети интернет. Особенность уязвимости в том, что для всех внутренних систем действия злоумышленника будут казаться легальными запросами интернет-сайта к внутренним системам.

Данная уязвимость могла стать причиной произошедшего инцидента, в теории, злоумышленник мог получить доступ к СУБД в которой хранятся все цены на товары, на короткий промежуток изменить стоимость телевизора, и купить его. А потом вернуть цене прежнее значение. Такой сценарий ставит под угрозу работу всего магазина, ведь он означал, что все внутренние системы потенциально могли быть скомпрометированы. Проведенные проверки показали, что злоумышленник вряд ли мог использовать эту брешь для выполнения своей цели. Эксплуатация была очень сложной и оставляла огромное количество цифровых следов.

Судя по поведению злоумышленника, для реализации своего плана ему не требовались сложные цепочки действий и уязвимость должна была быть на поверхности. И мы оказались правы.

Как часто происходит администраторы сайтов в погоне за простотой выполнения рутинных действий пренебрегают принципами информационной безопасности. В этом случае наши специалисты выявили похожее поведение. В рамках анализа исходных кодов было выявлено, что часть функций по настройке бонусной система доступна для любого пользователя.

Велика вероятностью, что один из администраторов или разработчиков интернет-магазина добавил возможность управления скидками без необходимости ввода логина и пароля. Он безусловно их скрыл, но даже для неопытного злоумышленника найти такую форму не составляет труда.

Злоумышленник использовал этот интерфейс для увеличения своего бонусного счета и оплатил всю стоимость телевизора нелегально полученными бонусными баллами.

Какие выводы можно сделать по результатам нашего расследования?

Необходимо понимать, что любой пользователь вашего сайта может быть потенциальным злоумышленником. Нужно очень внимательно следить за тем какую информацию он вводит в ваши формы ввода и фильтровать ввод на предмет наличия вредоносного кода. Лучшие практики так же рекомендуют фильтровать вывод, чтобы гарантировать что пользователям будет отображаться только та информация, которую вы хотите ему показать.

Ваши администраторы и разработчики не всегда ваши друзья. Иногда они упрощают жизнь себе или пользователям, при этом забывая об основополагающих принципах информационной безопасности и совершают ошибки, которые могут серьезно повлиять на бизнес.


Стоит очень внимательно следить за тем, что делают ваши администраторы, а в случае работы с подрядчиками жестко прописывать требования по информационной безопасности в заключаемых договорах.

Если говорить о практическом подходе к безопасности веб-приложений, то компания «Информзащита» советует:

  • периодически проводить сканирование КИС и исправлять уязвимости с использованием специализированного ПО;
  • ежегодно, а также после значительных изменений в КИС проводить комплексный тест на проникновение;
  • формализовать требования к поставщикам ПО в части безопасности разработки, а именно требования к наличию процесса жизненного цикла безопасной разработки ПО и к регулярному тестированию на проникновение;
  • обновить все учетные данные сервисов и служебные учетные записи;
  • внедрить средство защиты информации класса Web Application Firewall
  • очень внимательно относиться к подбору ИТ-персонала или аутсорсинговых компаний. Как минимум проверять их грамотность в области информационной безопасности.

Материалы по теме
  • BlueKeep – WannaCry возвращается?

    Одна из самых известных атак последних лет WannaCry стала возможной благодаря уязвимости EternalBlue. Тогда общий ущерб от атаки ​составил более 1 млрд. долларов и поразил от 200 тыс. до 300 тыс. компьютеров по меньшей мере в 150 странах мира.

  • Анализ изменений в ПП №127

    Мы подготовили для вас сводный документ, в котором ознакомим с последними дополнениями и изменениям  в части закона о КИИ.

  • Нормативные акты

    Список нормативных актов действующих в сфере импортозамещения ПО