Журнал "Системы Безопасности" № 5‘2023
S E C U R I T Y A N D I T M A N A G E M E N T 122 данные клиентов, а затем развить вектор своей атаки разными способами. Устранить такую проблему очень легко. нужно перенести параметры из GET в тело запроса, где оно, как правило, не логируется. Гуляющий идентификатор После оплаты пользователь получает от сайта номер своего заказа. Часто бывает, что в логике работы магазина не предусмотрена проверка принадлежности номера заказа определенному пользователю. в таком случае можно изменить номер заказа и получить чужой. злоумышленник для начала проводит тестовую покупку и получает идентификатор своего зака- за. Так он понимает, как этот идентификатор формируется. затем он отправляет запрос на получение данных о покупке, но уже с другим идентификатором, и получает информацию о заказе другого пользователя. Условно его настоящий запрос выглядит так: /get_order?id=1111, где id – это номер заказа. Если его изменить: /get_order?id=1234, то можно получить чужой заказ. Обязательно нужно организовать логику работы магазина таким образом, чтобы сопоставлять идентификатор заказа с пользователем. в случае несоответствия – не отдавать информацию. Саботаж логистики на многих сайтах есть возможность выбора оплаты "при получении", а значит, злоумышлен- ника ничего не останавливает от того, чтобы создать неограниченное количество заказов. Он может регистрировать случайные контактные данные и несуществующие адреса. Далее заказ попадает в CRM-систему, затем отгружается в логистику и отдается курьерам. Если ненастоя- щих заказов будет 1 тыс., то это нанесет логи- стике компании колоссальный ущерб. Особен- но опасно, если в магазине есть возможность оформлять заказы как "гость" без регистрации на сайте. Для защиты логистики от подобных атак нужно рассматривать каждый конкретный бизнес-про- цесс в отдельности. но совет, одинаково акту- альный для всех, – дополнительное подтвер- ждение заказа. Это может быть звонок, СмС или e-mail. можно дополнительно рассмотреть лимит и блокировку множества заказов с одно- го IP-адреса. Уязвимости в системе лояльности Кража чужой карты У карт лояльности, на которых копятся баллы, чаще всего есть фиксированная часть номера в начале и изменяемая часть в конце. зло- умышленник может получить пару карт и посмотреть на разницу между ними, затем зайти в личный кабинет и начать перебирать ту изменяемую часть для активации карты. Так, он может активировать чью-то реальную карту, где много бонусов, на свой аккаунт и использовать баллы, например, такого поку- пателя, который давно копит баллы, но не активирует карту. Такие инциденты несут угрозу репутации ком- пании. Чтобы защититься, нужно привязывать карты лояльности к аккаунтам пользователей, отслеживать аномалии – множественные запросы на привязку карты к аккаунту и блоки- ровать пользователей, которые создают множе- ственные запросы. Мошенничество с промокодами Частая уязвимость – слабая энтропия промо- кодов, когда их генерируют очень понятным способом. например: первое значение – это слово, второе – размер скидки или год. зло- умышленник может собрать список уже использованных ранее промокодов и понять способ их генерации. начав перебирать раз- ные варианты на сайте, он может наткнуться на существующий в системе код, который еще неизвестен клиентам, и использовать его. Для защиты лучше генерировать случайные значения для промокодов, внедрить монито- ринговые системы, которые помогут выявить использование кодов раньше начала акции. Скупка акционных товаров ботами во время акции магазины выкладывают товары с большой скидкой на ограниченное время. злоумышленники пишут боты, которые скупают все акционные товары в автоматическом режи- ме за считаные секунды. затем они продают товары после акции уже с большой наценкой. Особенно это актуально для дорогой техники и смартфонов. методы борьбы с такими угрозами разнятся в зависимости от площадки и специфики бизнеса. например, можно делать поведен- ческий анализ пользователя и блокировать его на время, зафиксировав отклонения, либо просить подтвердить действия введе- нием дополнительной CAPCHA или кода из СмС. Почему аналитики не могут определить мошенников Как мы видим, существует много стандартных моделей поведения нарушителя и немало способов противодействия. Почему же часто аналитики пропускают мошеннический дей- ствия? l Отсутствует модель угроз и модель наруши- теля. Сотрудники компании не представляют достаточно хорошо, кто нарушитель и какие угрозы он может реализовать. l Отсутствует мониторинг и поведенческий ана- лиз пользователя. нет журналов событий, по которым можно отследить действия зло- умышленника. l Уязвимости в бизнес-логике сложно опреде- лить, поскольку эксплуатация бизнес-логики выглядит как обычное поведение пользовате- ля. Эксплуатация технических уязвимостей, как правило, сразу видна по аномальным запросам, в которых присутствуют векторы атак. l Отсутствие активных средств защиты. Без них определить атаку крайне сложно. l Отсутствие собственных правил для оповеще- ния об аномалиях, например резком росте количества отправляемых СмС. Что делать? 1. моделировать угрозы. 2. Убедиться, что необходимые события соби- раются и могут быть проанализированы. 3. Убедиться, что есть оповещение при анома- лиях, например резком росте количества отправляемых запросов к СмС-провайдеру. 4. Проводить тестирование на проникновение и анализ защищенности с помощью внешних специалистов два – четыре раза в год. n октябрь – ноябрь 2023 www.secuteck.ru СПЕЦПРОЕКТ БЕзОПаСнОСТь и ЦифРОвая ТРанСфОРмаЦия РиТЕйла Возможность присвоения чужой покупки Кража чужой карты Ваше мнение и вопросы по статье направляйте на ss @groteck.ru
Made with FlippingBook
RkJQdWJsaXNoZXIy Mzk4NzYw