6 lỗ hổng bảo mật phổ biến trong Website thương mại điện tử

Giang

1606

15-05-2018

Hiện nay, bảo mật trong thương mại điện tử vẫn đang là vấn đề nhức nhối nhưng đa số các doanh nghiệp lại khá lơ là, tiềm tàng những nguy cơ có khả năng gây thiệt hại lớn cho doanh nghiệp bất cứ khi nào. Hãy cùng Bizfly Cloud điểm qua 6 lỗ hổng phổ biến với các website TMĐT đa số doanh nghiệp đều gặp phải trong bài viết sau đây!

Mua nhanh, bán gọn, lựa chọn dễ dàng, thanh toán đơn giản là những ưu điểm vượt trội của thương mại điện tử trong thời đại người tiêu dùng ngày càng mong muốn tiết kiệm thời gian và đề cao tính tiện lợi.

Chính vì sự bao phủ rộng khắp của các sàn thương mại điện tử nên nó đang trở thành mục tiêu chính của những kẻ tấn công với ý đồ xấu. Tận dụng các lỗ hổng sau đây mà website thương mại điện tử của doanh nghiệp của bạn sẽ bị tấn công bất cứ lúc nào. Hãy cùng điểm qua.

1. Lỗ hổng trong các thao tác về giá

Khi lựa chọn một món đồ vào giỏ hàng, thường sẽ có 2 giá trị kèm theo 2 biến sẽ được gửi đến hệ thống máy chủ dưới dạng một lệnh POST: 

• Tên ID.
• Giá cả của món đồ. 

Chính trong lúc này, tin tặc có thể ngăn chặn lệnh và thay đổi mức giá của sản phẩm. Lỗ hổng này đã rất phổ biến từ mấy năm trước, tuy nhiên đến nay đã ít ảnh hưởng hơn tới các website do nhận thức của lập tình viên cũng như các nền tảng thư viện, mã nguồn mở hỗ trợ.

Một cách khai thác khác nữa của tin tặc là chuyển đổi loại tiền tệ. Chẳng hạn, việc thay đổi từ đồng đô-la Mỹ sang Việt Nam Đồng sẽ khiến giá cả chênh lệch cả ngàn lần. Cách khai thác này là do trước đó, tin tặc đã đăng nhập thành công vào hệ thống với tư cách quyền quản trị hàng hóa và thay đổi giá cả sản phẩm trước khi khách hàng đặt mua sản phẩm, hay có thể giảm giá 100% cho khách hàng. Nếu bạn là người bán hàng và phải cấp quyền truy cập cho nhiều nhân viên, hãy chú trọng đến việc thiết lập một hệ thống tối ưu giúp bạn kiểm soát được những rủi ro có thể xảy đến.

2. Lỗ hổng trong việc đặt tên hoặc số thẻ khách hàng theo thứ tự

6 lỗ hổng bảo mật phổ biến trong thương mại điện tử

Để gia tăng khách hàng thường xuyên và trung thành, các hệ thống kinh doanh, bán lẻ thường tạo ra các thẻ khách hàng thân thiết và tích điểm sau mỗi lần mua sắm. Và để thuận tiện nhất, các hệ thống kinh doanh này thường tạo tài khoản thẻ cho khách hàng kiểu tịnh tiến. 

Ví dụ: số thẻ của bạn là 123456 thì người tiếp theo là 123457. Chính vì sự tuần tự này, tin tặc hoàn toàn có thể dễ dàng có tên tài khoản và từ đó tìm cách đánh cắp được mật khẩu của những khách hàng khác rồi sử dụng tiền của họ. 

Rất đơn giản nhưng lỗ hổng này vẫn đang bị bỏ ngỏ.

3. Lỗ hổng trong việc đặt tên cho mã phiếu giảm giá mua hàng

Ngoài thẻ tích điểm thì phiếu giảm giá mua hàng cũng là một mục tiêu của tin tặc. 

Chẳng hạn, bạn đang có 2 phiếu mua hàng, một chiếc giảm giá 10% và bạn muốn đăng bán online phiếu đó, một chiếc giảm giá 50% và bạn muốn để lại cho bạn bè thân thiết của mình. 

Như vậy, mã của 2 chiếc coupon này sẽ là: SuperCheap_10 và SuperCheap_50. Lúc này, tin tặc cũng có thể thao tác tương tự như lỗ hổng thứ 2 đã trình bày ở trên (thử tên thẻ tích điểm khách hàng kiểu tịnh tiến).

4. Lỗ hổng trong việc đo lường mặt hàng trong kho

Cách khai thác này thường được các đối thủ cạnh tranh trong cùng ngành, cùng lĩnh vực kinh doanh sử dụng. 

Họ sẽ đo lường và dự đoán kho hàng của bạn bằng cách đặt mua các sản phẩm vào giỏ hàng cho đến khi hệ thống bán hàng báo sản phẩm đã hết. 

Thông tin về số lượng sản phẩm mà bạn có trong kho hàng sẽ được các đối thủ cạnh tranh sử dụng để dự đoán kế hoạch kinh doanh của doanh nghiệp. Từ đó, không thể loại trừ trường hợp họ sẽ tìm cách phá vỡ những kế hoạch kinh doanh ấy của bạn. Ví dụ, đối thủ sẽ triển khai kế hoạch kinh doanh giống y hệt nhưng họ sẽ đẩy mạnh và cải tiến nó sao cho hấp dẫn hơn, sau đó công khai và chạy chiến dịch đó trước khi doanh nghiệp bạn kịp tung ra. Vậy là bạn đã mất một ý tưởng kinh doanh chỉ vì lỗ hổng này.

5. Các cuộc tấn công DDoS nhằm vào website thương mại điện tử

Các cuộc tấn công DDoS là kiểu khai thác đã phổ biến từ lâu nhưng gần đây được sử dụng nhiều và thường xuyên hơn. Nếu trang web của bạn có vấn đề và không thể hoạt động, đương nhiên bạn sẽ không thể bán hàng được và khách hàng lúc này sẽ bắt đầu rời bỏ website của bạn và đi tìm những địa chỉ bán hàng trực tuyến khác. Đa số khác hàng sẽ lựa chọn ghé thăm và mua hàng tại website của kẻ tấn công. 

Nhằm khiến cho tình hình trở nên tồi tệ hơn, kẻ tấn công sẽ tìm cách khiến trang web của bạn ngưng hoạt động trong thời gian càng lâu càng tốt. Cho dù khi bạn đã khắc phục xong hệ thống và hoạt động trở lại thì các hậu quả vẫn còn sức ảnh hưởng đến một thời gian sau nữa, một số lượng lớn khách hàng bắt đầu quên bạn và trở thành khách hàng thân thiết của những hệ thống thương mại điện tử khác.

6. Đánh cắp thẻ tín dụng trong quá trình mua hàng trên website TMĐT của doanh nghiệp

Mục đích của kiểu tấn công này là khiến nhà bán lẻ vướng vào những vụ giải quyết khiếu nại đau đầu, từ đó làm suy giảm uy tín, danh tiếng của doanh nghiệp đó.

Cách thức chung đó là tin tặc sẽ đánh cắp thông tin của rất nhiều thẻ tín dụng, sử dụng chúng vào việc mua sản phẩm tại hệ thống bán lẻ mục tiêu. Khi ngân hàng phát hiện thẻ bị đánh cắp được sử dụng, họ sẽ thông báo và yêu cầu bồi hoàn. Lúc này, hệ thống bán lẻ mục tiêu sẽ phải đau đầu khi giải quyết những thủ tục bồi hoàn với bên ngân hàng. Bên cạnh đó, phí bồi hoàn cũng khá cao. Đặc biệt, trong trường hợp sản phẩm đã giao thì họ cũng phải tìm cách để nhận lại sản phẩm đó.

Vì thế, khi thanh toán qua thẻ tín dụng, bạn nên tỉnh táo để có thể xác minh được người mua hàng là chủ sở hữu của thẻ tín dụng đó. Tuy nhiên, cũng không nên khiến thủ tục thanh toán trở nên quá rườm rà và khó khăn cho các khách hàng thực sự. Việc cân bằng giữa các biện pháp an ninh và sự thuận tiện cho khách hàng là điều vô cùng cần thiết, cũng là thách thức đối với các hệ thống thương mại điện tử hiện nay. 

Để hình thành một mạng lưới thương mại điện tử an toàn, hiệu quả cho cả người mua và người bán, tất cả mọi người cần có một nhận thức cao về vấn đề này.

Vậy giải pháp nào dành cho các lỗ hổng bảo mật với các website TMĐT?

Bạn có thể tự mình tiến hành hoặc tìm đến các giải pháp cho các website TMĐT của doanh nghiệp, sao cho đáp ứng được các tiêu chí cơ bản và hiệu quả sau đây:

• Hãy tiến hành khảo sát để đánh giá hệ thống thương mại điện tử của doanh nghiệp. Việc khảo sát và đánh giá này phải hoàn toàn tự động và không gây ảnh hưởng gì đến hoạt động kinh doanh của công ty. 
• Sau khi dò quét, đánh giá, phát hiện ra các điểm yếu, lỗ hổng bảo mật, phải đưa ra những biện pháp để duy trì hệ thống thương mại điện tử của doanh nghiệp được bảo mật, an toàn
• Thường xuyên sử dụng các tính năng nâng cao khách như dò quét mã độc (Malware Scan), sử dụng nền tảng tường lửa ứng dụng cho web để chống tấn công từ bên ngoài hoặc sử dụng tính năng Monitoring để nhận cảnh báo mỗi khi website của bạn gặp sự cố.

Tham khảo: cystack.net

>> Có thể bạn quan tâm: Nguyên nhân gây ra các lỗ hổng bảo mật website