Testy penetracyjne e-commerce: PCI-DSS, GDPR i ochrona przed Magecart
Sklepy e-commerce są atakowane przez cały rok: skimmery Magecart (ponad 700 kampanii w 2024 wg IBM X-Force), manipulacja procesem checkout, kradzież PII klientów i niezgodności z PCI-DSS. Matproof Sentinel wykonuje ukierunkowane pentesty e-commerce dla Shopify, WooCommerce, Magento i platform custom, z raportami zgodnymi z PCI-DSS / GDPR od 149 EUR.
Dlaczego sklepy e-commerce są atakowane przez cały rok
E-commerce to najbardziej atakowana wertykała online: IBM X-Force raportuje ponad 700 aktywnych kampanii Magecart w 2024, ze średnim czasem detekcji 5-7 miesięcy. PCI-DSS Req. 11.3 nakazuje coroczny pentest dla każdego sprzedawcy lub dostawcy usług przetwarzającego dane kart. GDPR art. 32 obejmuje całe przetwarzanie PII klientów. Poza zgodnością specyficzne wzorce ataków e-commerce obejmują: cyfrowe skimmery Magecart wstrzykiwane przez skrypty stron trzecich (analityka, czaty, narzędzia A/B testów), manipulację cen w checkout (kumulacja zniżek, ujemne ilości, naruszanie parametrów), przejmowanie kont klientów dla zapisanych poświadczeń oraz oszukańcze zamówienia z wykorzystaniem skradzionych poświadczeń.
- PCI-DSS Req. 11.3: coroczny pentest dla każdego sprzedawcy z >1 tys. transakcji rocznie (Level 2-4) lub dla każdego dostawcy usług, wymagane testy wewnętrzne i zewnętrzne.
- GDPR art. 32: 'odpowiednie środki techniczne i organizacyjne' dla PII klientów, test penetracyjny jest de facto dowodem.
- Cyfrowe skimmery Magecart: ponad 700 aktywnych kampanii w 2024, średnia detekcja 5-7 miesięcy, zwykle wstrzykiwane przez skrypty stron trzecich (analityka, A/B testy).
- Ataki na checkout: manipulacja ceny przez naruszanie parametrów, kumulacja kodów rabatowych, ujemne ilości, obejście darmowej dostawy.
- Przejęcie konta klienta: credential stuffing (miliony wyciekniętych poświadczeń), session hijacking, nadużycie procesu resetu hasła.
- Oszukańcze zamówienia: skradzione karty kredytowe i drop-ship na adres oszusta, kosztują e-commerce ok. 48 EUR za jedną oszukańczą transakcję (chargeback + utracony towar).
- Ruch botów: 47% ruchu e-commerce to boty (Imperva Bad Bot Report 2024), scraping, tworzenie kont, blokowanie magazynu.
Co konkretnie testujemy w sklepie e-commerce
- Integralność procesu checkout: naruszanie parametrów ceny, ilości, dostawy, podatków; kumulacja kodów rabatowych; nadużycie kuponów przez równoległe stosowanie.
- Integracja płatności: walidacja podpisu webhooków Stripe / Adyen / PayPal, klucze idempotencji, minimalizacja zakresu PCI-DSS.
- Analiza skryptów stron trzecich: wykrywanie skimmerów w stylu Magecart, integralność skryptów stron trzecich (SRI), zgodność CSP.
- Bezpieczeństwo konta klienta: wsparcie 2FA, proces resetu hasła, blokada konta po nieudanych próbach, bezpieczeństwo sesji.
- Manipulacja magazynem: race conditions w dekrementacji stanu, enumeracja stanu magazynu przed zakupem, ruch botów dropshippingowych.
- Funkcjonalność wyszukiwania i filtrów: SSRF przez obraz wyszukiwania (jeśli używany), injekcja zapytania wyszukiwania, manipulacja filtrami fasetowymi.
- Bezpieczeństwo panelu admina: enumeracja użytkowników admin, ochrona przed brute-force, restrykcja IP, logowanie audytowe działań admina.
- Bezpieczeństwo API: API REST/GraphQL dla storefrontu, OWASP API Top 10 (2023), rate limiting per IP i per użytkownik.
- Ochrona przed botami: weryfikacja człowieka (CAPTCHA, analiza behawioralna), ochrona magazynu podczas wyprzedaży (systemy kolejkowe).
- Prawa osób, których dane dotyczą (GDPR): eksport danych klienta (art. 15), prawo do bycia zapomnianym (art. 17), przenoszalność danych (art. 20).
Sample finding
Skimmer w stylu Magecart wstrzyknięty przez analitykę stron trzecich, czyli eksfiltracja danych kart klientów
Nasz pentest sklepu e-commerce wykrył skimmer w stylu Magecart wstrzyknięty przez skompromitowany skrypt dostawcy analityki. Kod skimmera (zaciemniony JavaScript) podpina się do zdarzenia submit formularza checkout i eksfiltruje dane karty klienta (numer, CVV, datę ważności, nazwisko) do domeny kontrolowanej przez atakującego przez HTTP POST. Wektor wstrzyknięcia: CDN dostawcy analityki został skompromitowany 3 miesiące wcześniej, a złośliwy kod jest serwowany tylko dla URL strony checkout (unika detekcji na innych stronach). Szacowana dzienna eksfiltracja: 200-300 rekordów kart klientów na podstawie analizy ruchu. Podatność jest wykrywana przez: niezgodność hash integralności skryptu strony trzeciej, żądania sieciowe do znanych złych domen, analizę behawioralną zdarzeń submit formularza.
Fix: Działanie natychmiastowe (priorytet 1): usuń skompromitowany skrypt dostawcy analityki ze wszystkich stron, zwłaszcza checkout. Zastąp zweryfikowaną alternatywą lub analityką first-party. Wdróż hashe Subresource Integrity (SRI) dla WSZYSTKICH skryptów stron trzecich. Wdróż strict Content-Security-Policy z jednoznaczną whitelistą script-src. Implikacje PCI-DSS: powiadom schematy kart wg PCI-DSS Forensic Investigation Requirements w ciągu 24 godzin; zaangażuj PCI Forensic Investigator (PFI). Powiadomienie GDPR wg art. 33 (72 godziny) wszystkich dotkniętych klientów. Koordynacja wymiany kart z bankami wystawcami.
Reference: OWASP A08:2021 Software and Data Integrity Failures · PCI-DSS Req. 11.6 (Change-detection on payment pages) · GDPR art. 32-34 · CWE-829 Inclusion of Functionality from Untrusted Source
Porównanie opcji pentestu e-commerce
| — | Free scan | Matproof Sentinel | Traditional consultancy |
|---|---|---|---|
| Automated scan engine | ✓ (3-min preview) | ✓ Full scan | ✗ Manual only |
| OWASP Top 10 coverage | Partial | ✓ Complete | ✓ Complete |
| Proof-of-exploit evidence | ✗ | ✓ Per finding | ✓ Per finding |
| Regulatory mapping (DORA/NIS2/ISO 27001) | ✗ | ✓ Automated | ✓ Manual |
| Audit-ready PDF report | ✗ | ✓ Instant | ✓ 2–4 weeks delivery |
| Continuous / recurring scans | ✗ | ✓ Per deploy | ✗ Annual engagement |
| Time to first result | ~3 min | ~30 min full scan | 2–4 weeks |
| Price | €0 | From €149 | €8,000–€25,000 |
| Source code review (SAST) | ✗ | ✓ On Growth plan | ✓ Scoped engagement |
| API testing (REST/GraphQL) | ✗ | ✓ Automated | ✓ Manual |
Pakiety pentestów e-commerce
- 1 full pentest scan
- AI-prioritized findings with CVSS 3.1
- Proof-of-exploit per finding
- Audit-ready PDF report
- Regulatory mapping (DORA, NIS2, ISO 27001)
- Unlimited scans (up to 3 domains)
- Continuous monitoring
- CI/CD integration (GitHub, GitLab)
- All regulatory mappings
- Priority support
- Unlimited scans + domains
- Authenticated / White-Box testing
- API & cloud infrastructure tests
- Dedicated security account manager
- 24h SLA response time
Najczęściej zadawane pytania o pentest e-commerce
Czy testujecie wszystkie najpopularniejsze platformy e-commerce (Shopify, WooCommerce, Magento, custom)?
Tak. Shopify (w tym Shopify Plus), WooCommerce, Magento (Adobe Commerce), BigCommerce, Spryker, custom storefronty Next.js/Hydrogen. Każda ma specyficzne wektory ataku, do których dostosowujemy nasze testy.
Czy potraficie aktywnie wykrywać skimmery Magecart?
Tak. Testujemy wskaźniki w stylu Magecart: sprawdzenie integralności wszystkich skryptów stron trzecich, monitoring sieciowy podczas checkout pod kątem eksfiltracji do podejrzanych domen, analiza behawioralna hooków submit formularzy.
Czego wymaga PCI-DSS Req. 11.3 dla e-commerce?
Coroczne testy penetracyjne (wewnętrzne i zewnętrzne) wykonane przez wykwalifikowane strony. Pentest musi pokrywać wszystkie systemy w Cardholder Data Environment (CDE) oraz testy segmentacji. Matproof Sentinel pokrywa bazową część Req. 11.3; dla sprzedawców Level 1 (>6 mln transakcji rocznie) wymagane są dodatkowe skany ASV.
Jak obsługujecie zakres PCI-DSS naszego checkoutu?
Pomagamy minimalizować zakres PCI-DSS przez: implementację tokenizacji (Stripe Elements, Adyen Drop-in), przechwytywanie kart przez iframe, płatności oparte na redirect. Mniejszy zakres = prostszy roczny audyt.
Czy testujecie ochronę magazynu podczas wyprzedaży o dużym ruchu?
Tak (plan Growth). Dla Black Friday / eventów wyprzedażowych testujemy: obejście systemu kolejkowego, enumerację stanu magazynu przed zakupem, blokowanie magazynu przez boty. Dostarczamy ocenę przed sprzedażą i audyt po sprzedaży.
Jak szybko otrzymamy raport zgodności PCI-DSS?
Single Run (149 EUR): skan i raport w ciągu 24 godzin. Wystarczające dla sprzedawców PCI-DSS Req. 11.3 Level 2-4. Dla Level 1 (>6 mln transakcji rocznie) rekomendujemy plan Growth z kwartalnymi skanami i integracją partnera ASV.
Go deeper — related blog articles
Zgodność PCI-DSS dla twojego e-commerce w kilka minut
Pierwszy skan w 3 minuty, kompletny pentest e-commerce z mapowaniem PCI-DSS / GDPR. Wykrywanie skimmerów Magecart w cenie. Od 149 EUR.
Rozpocznij darmowy skan