E-Ticaret Sitesi Kredi Kartı Güvenliği

No Comments

E-Ticaret Sitesi Kredi Kartı Güvenliği hakkında yapılması gereken bir çok şey bulunuyor. Günümüzde en çok mağdurun e-ticaret sitesinde kredi kartı kullananların olduğunu biliyoruz. Bilgilerinin üçüncü şahıslar tarafından görülebilmesini engellemek için Kredi Kartı Güvenliği site sahibi tarafından alınmalıdır.

Kredi Kartları’nın 3D’ye uyumlu olmasına dikkat etmek ilk kural. Bu elbette herşeyi çözmüyor ancak yine de 3D olması halinde sistem size ait cep telefonu numarasına bir kod gönderiyor. Doğrulama kodu sayesinde kişinin gerçek kişi olup olmadığı anlaşılıyor. Bu kullanıcının alması gereken güvenlik.

E-Ticaret Sitesi’ nin alması gereken güvenlik
İlk olarak DNS güvenliği, bir çok yeni sistem de farklı farklı hack teknikleri bulunuyor, bu hack teknikleri de DNS bağlantısını ve siteyi kendilerine yönlendirerek XSS, SAMESİTE, SAMELİNK, IFRAME vb gibi güvenlik açıkları oluşmasına neden oluyor. Burda en tehlikeli olanlardan biri IFRAME ve XSS atak adı verilen iki önemli saldırı modeli.

Aslında bu saldırılar Kredi Kartını etkilemez, kredi kartı sistemleri günümüzde çok ciddi donanımlarla korunduğu için artık o kadar kolay değil sistemi hacklemek yada bilgiyi alabilmek. Ancak sunucu açıklarından host açıklarından yararlanmaları durumunda Hackerlar bunu rahatlıkla yapabilir.

Geçtiğimiz günlerde bir grubumuz da sohbet ederken bir Booking sitesinin verileri nin kara borsada satıldığını gördük, bu site tahmin edebileceğiniz belkide en ciddi güvenlik sistemlerine sahiptir. Ancak zaten burada sitenin bundan etkilendiğini düşünerek hareket etmek yanlış.

Sorunnun kaynağına indiğimizde ise sitenin farketmediği bir açık olduğunu, ancak bu açığın bilgileri direkt olarak hacker’a değil OTEL’e vermiş olmasından kaynaklandığını anladık. Booking sitesinden alım yapıldığında kullanıcıya, otele ve sisteme bir mail gönderiyor. Otel’in kendi kredi kartı sisteminde kartın otorizasyon verip vermediğini öğrenmek için kart bilgilerine ihtiyacı var bu sırada aldığı mail de PDF içerisinde kart bilgileri eksiksiz olarak yazdığını gördük. Bu sayede hacker otele ait local mail sistemini hacklemesi yeterli oluyor. Bilgilerin bir kopyasını kanca yardımı ile kendine alıyor.

Bu çalışmayı aynı şekilde size de yapabilir. Türkiye’de internet güvenliği neredeyse yerlerde sürünüyor diyebiliriz. Ancak bu yakında düzelecek, yıllardır söylediğim şeyleri kendi çabaları ile tespit edip bulmuş gibi yapacaklar. Bakalım görelim ben buradan yazayım okuyucularımız da burada okuduğunu hatırlasın yeterli.

E-Ticaret Kredi Kartı Güvenliği için ne yapmalıyım?
1. DNS adreslerinizi DNSSEC adı verilen bir güvvenlik ile olası her türlü riske karşı koruma altına alın. Ya da CloudFlare vb araçları kullanarak trafiğinizin sistem tarafından korunmasını sağlayın.
2. SSL güenliği konusunda kesinlikle SSL’i ucuz diye almayın ve özellikle Türkiye’den direk satış firmalarından SSL almayın. Domain, Hosting vb. iş yapanlardan yani.
3. SSL güvenliği konusunda sürekli olarak tek bir firma ile çalışın. Biraz pahali olması sizi yapacağınız işte daha güvenli hale getirir çok değil 9 dolara almak yerine 39 dolara alın.
4.htaccess güvenliğinizi sağlayın, badbot ve çeşitli ataklara karşı htaccess güvenliği oluşturun.
5. Sunucu güvenliğinizi sağlama alın. eğer PHP altyapı kullanıyorsanız ve rule ayarlarını yapabiliyorsanız kesinlikle MOD_SECURITY ayarlarını yapın ve kullanın.
6. Sisteminizi güncel tutun.
7. Sürekli değişiklik ve eklenti kullanımından kaçının, her eklenti sitede farklı bir açık vermenize neden olabilir. Bu açıklar da zaman içerisinde hackerlar tarafından farkedilerek işleme dönüşebilir.
8. Site loglarınızı düzenli aralıklarla takip edin, bilinmeyen ülke ve kullanıcılara sitenizi tamamen kapatın.
9. Spam üye oluşumunu engelleyin.
10. Google’da harici sayfaların oluşup oluşmadığını görmek için webmaster araçlarını kullanın ve hiç oluşturmadığınız bir 404 yada 524 hatası alıyorsanız yada 503 bu sayfaları kontrol edin.
11. Kullanıcı ile aranızdaki şifre korumasını en yüksek düzeye çıkarın basit şifre kontrolleri yapın 123456, qwerty gibi şifrelerle kayıtları engelleyin.
12. Eklenti kurulumlarında virüs taramasından geçirin, sitenize kurduğunuz her eklentiyi önceden inceleyin.
14. Yönlendirmelere kapatın. 302, 301, 307 vb. yönlendirmelere sitenizin kapatılması için htaccess kodlarında güvenliğinizi alın (bu ayar sitenizi etkileyebilir lütfen uzman değilseniz bilen kişilerden yardım alın.)
15. SAMEORGIN ayarlarını yapın bu ayar sayesinde sitenizin başka siteler tarafından IFRAME olarak kullanılması engellenecektir.
16. İçerik kontrolü ve haftalık test araçlarını kullanarak güncel olarak sitenizi takip edin.

Genel olarak bu ayarları yapmanız durumunda Firewall, Sunucu Güvenliği ve internet ağ güvenliğiniz sağlam ise sorun yaşamayacaksınızdır.

 

Yorum Yazın

No Comments