在本文中，我们将讨论零售安全性。 我们将主要关注在线商店，长期以来在网上购物已很普遍，但我们也将很少关注离线商店。

我们对零售业的代表进行了调查，发现他们认为哪种安全威胁最严重，以及应该从哪些攻击中遭受最大损失。

调查结果表明，最大的担忧是客户个人数据的泄露。 这是有各种原因的。 俄罗斯立法正在朝着在这一领域加强赔偿责任转变。 但是，绝不是攻击者总是对帐户中的个人数据（例如名称，家庭地址和密码哈希）感兴趣。 更具吸引力的是无需离开收银台就可以进行交易的银行卡数据。

在线商店不仅是客户银行卡数据的来源，而且还是骗子可以在黑市上使用的数据进行购买的地方。 最有可能的是，这不会导致经济损失，但是很难避免声誉。 因此，某些站点拒绝在网络犯罪盛行的国家/地区工作。

可能还会泄漏与财务相关的数据以及有关商店活动的其他机密信息。 在这种情况下，泄漏的后果和损失的大小取决于谁可以访问数据以及如何使用它。

有几种类型的攻击，对于在线商店而言尤其危险。 所有受访者都担心未经授权访问用户和员工帐户的可能性。 比这更糟糕的是，只有未经授权才能访问管理面板。 通过这些帐户，您可以访问数据库，管理价格，促销等。不难想象这种情况的后果。

在线商店中使用的软件充满了漏洞，就像其他任何漏洞一样，它也引起了零售商的关注。 可以使用SQL注入数据库，在站点上进行XSS和CSRF攻击的可能性以及其他危险漏洞来渗透企业网络并窃取数据。 并非没有原因会引起对使用的云服务器的安全程度的担忧。 以下是 Amazon服务器漏洞的一些示例 。 使用云解决方案本身就意味着完全信任第三方。

至少所有零售商都担心黑客的滑稽行为会给声誉造成损失，例如在网站上发布有趣的图片。

大多数零售商并不害怕DDoS攻击。 但是，Digital Security的一项研究表明，并非所有的DDoS保护都是有效的。

升职是另外一个危险。 由于它们是“临时的”，因此不会受到足够的关注。 他们的工作逻辑未经测试，您可以找到一种操作方式。 红利卡的类似情况：使用代码中的错误，您可以将红利余额增加到无穷大。

现在，我们给出在线商店中漏洞利用案例的示例。

例如 ，在Magneto在线商店的网站上，视频预览是通过带有图像本身URL的POST请求下载的。 攻击者可以将此请求更改为GET请求，在该请求中，可以使用在线商店网站上运行的任何恶意代码代替URL。

Digital Security的研究人员发现了一个漏洞，该漏洞使您可以完成无数数量的积分，最高可以支付购买价的100％。 由于对服务器接收的信息进行了不正确的处理，因此可能发生这种情况，利用此漏洞，您不需要任何特殊技能。

最近，Aeroflot软件资源已泄漏。 在其中，您可以找到负责礼券和奖金生成的代码段，并且当然可以利用它来发挥自己的优势。

您不仅可以操纵虚拟货币，还可以操纵商品价格。 以笔的价格购买智能手机？ 如果将价格值存储在易于访问和更改的位置，则可以这样做。 例如 ，您可以通过发送伪造的HTTP请求来更改订阅价格。

一位零售代表向我们介绍了如何在他的连锁店中开展一项活动，在该活动中，顾客获得的折扣等于橱窗外的温度。 一切都会好起来的，但是俄罗斯是一个大国，而在圣彼得堡，只有+10，在克拉斯诺达尔则是+35。 这是买家从南部城市免费送货订购商品时使用的商品。 在这种情况下，甚至不必“中断”。 促销的不当规则很明显。 这足以限制交付范围，甚至在使用此促销时使交付变得不可访问。

每个人都知道“买两件商品并免费获得第三件商品”促销活动。 据了解，订购最便宜的产品将免费。 但是，由于进行了某些操作，一家网上商店的购买者能够购买三支笔和三部智能手机，而只需为笔和一部智能手机付费。

另一个弱点是公司员工。 他们可能滥用权力或找到一种方法来访问用户数据库，构成商业秘密的内部信息等。 员工是进入黑市的数据来源之一。

商家是离线商店中的主要安全风险，因为它们通常成为社会工程学的对象。 他们忘记了密码以及交易大厅显示器上的帐户密码，并且不退出帐户，从而使屏幕解锁。

怎么办

有许多安全措施可以帮助防止上述情况，或者至少减少攻击者的行为造成的损害。 其中值得强调：

• 测试在线商店网站的所有组件；
• 定期进行安全审核；
• 持续监测现场活动；
• 使用WAF等技术工具并防御DDoS攻击；
• 对用户（包括买方，在线商店的员工和管理员）使用最小特权原则；
• 过滤用户以表格形式输入的信息；
• 在您的个人帐户入口处进行两因素客户认证；
• 培训在线和离线商店的员工如何应对社会工程学。