国际品牌资讯

您的位置:首页 >商业 >

网络星期一的五项零售安全最佳实践

时间:2019-12-02 12:01:06 | 来源:

对于许多品牌而言,网络星期一代表了巨大的收入机会。咨询公司普华永道称其为“年度最重要的购物活动之一”,称有兴趣利用今年最新交易的消费者愿意平均比去年多支付21英镑。

但是,尽管品牌机会巨大,但黑客也有机会利用安全保护不当的在线支付系统和网站(毫无戒心的客户)。因此,对于在线商家而言,确保其网络安全状况良好非常重要。列出清单(并检查两次),以确保购物体验与本季节一样安全。

零售商通常需要采取一些措施来使自己的安全性得到改善,而这些事情相对较小且简单。您可以执行以下五项操作来确保自己处于有利位置:

1.按顺序获取证书

SSL / TLS证书向您的客户证明您的网站是安全的。它们有两个目的:首先,对客户通过Internet发送给您的信息进行加密(以保护数据的内容(如果数据落入攻击者的手中),并提供身份保证),这两种方法都可以帮助在线消费者积极地识别和信任那些可以安全地进行交易。

在线零售商可以使用免费的在线检查器来衡量其站点的SSL / TLS配置的强度。如果您碰巧获得的分数不及“ A”,则可以直接使用Mozilla出色的SSL配置生成器,它可以帮助您为站点制定“防弹”证书配置。

2.整理您的网站标题

确保购物网站具有可靠的安全标头是购物网站安全列表中的下一个任务。您实际上无法在您的网站上实际看到这些内容,但是它们是确保客户始终使用加密连接并且犯罪分子不会以恶意方式操纵您的网站的组件。

今年早些时候,我们在Rapid7上写了一篇博客文章,介绍了这个主题。OWASP还会维护建议的安全标头的列表,我们评估了许多网站中这些标头的存在。结果不是很好。我的建议是前往securityheaders.com测试您自己的站点,并获得有关如何配置站点标题的其他指导。

3.不要吸引Magecart

Magecart是一群黑客,​​在您的支付系统上打了一个洞,因此,当您的客户输入信用卡详细信息时,信息会泄漏到黑客组的等待桶中。有时,这是通过您无法控制的第三方供应商系统之一发生的,但是由于您与他们共享数据,因此您也要对他们的安全性负责(您的客户也将看到这种情况) )。聪明地利用上一部分中的Content-Security-Policy标头可以大大帮助通过第三方提供商预防这些类似Magecart的攻击。

您还可以在网站HTML的关键区域中使用特殊属性,以帮助确保您正在加载自己认为正在加载的资源。如果您不及时了解补丁程序和安全的应用程序编码技术,则Magecart攻击也可能直接发生在您的站点上。攻击者喜欢抓住机会大规模感染易受攻击且未打补丁的站点,您绝对不希望在他们的一项活动之后被赶上。

4.堆砌防洪设施

攻击者能够用假流量泛滥网站,因此真正的客户无法访问该网站。这种攻击被称为“拒绝服务”或“ DoS”攻击-它们相当于在网上用假顾客来填满您的实体店,这样您的真实顾客就无法适应。

防御DoS攻击需要一些预先计划(即DoS响应计划)和持续的投资(即反DDoS技术或服务),以确保您的客户可以毫无问题地完成购买。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。