>_AYSOLI SECURITY HUB
THREAT AREA

E-Commerce System

Online-Shops verarbeiten Kreditkarten- und Kundendaten unter hohem Zeitdruck. Sie sind das Primärziel für Datendiebstahl und automatisiertes Skimming.

Deine Strategie

Schütze die Integrität deiner Frontend-Skripte durch Subresource Integrity (SRI) und eine restriktive CSP. Validiere jeden Schritt des Checkout-Prozesses auf dem Server, um Preis-Manipulationen und unbefugte Rabatte zu verhindern.

Best Practices

  • Payment-Isolation: Nutze nur zertifizierte, externe Payment-Gateways (PCI-DSS konform).
  • Bot-Abwehr: Implementiere Verhaltensanalyse, um Scraping und Credential Stuffing zu blockieren.
  • Compliance: Stelle sicher, dass das Recht auf Löschung (DSGVO) automatisiert für alle Kundendaten umgesetzt werden kann.

STRIDE-LM Design-Risiken

SpoofingS-WEB-02

Broken Authentication

Schwachstellen im Session-Management oder Login-Prozess.

TamperingT-WEB-01

Application Logic Tampering

Manipulation der Anwendungslogik zur Erlangung von Vorteilen.

TamperingT-WEB-03

SQL Injection

Einschleusen bösartiger Datenbankbefehle über Benutzereingaben.

Information DisclosureI-WEB-01

Sensitive PII Exposure

Offenlegung von personenbezogenen Daten (GDPR/DSGVO Risiko).

Denial of ServiceD-WEB-01

Application Layer DoS

Erschöpfung von Ressourcen durch komplexe Web-Anfragen.

Elevation of PrivilegeE-WEB-01

Insecure Direct Object Reference (IDOR)

Zugriff auf Datenobjekte durch Manipulation von Referenzen.

Lateral MovementL-01

Lateral Movement

Zugriff auf weitere interne Systeme nach erstem Login.

Monitoring GapsM-WEB-02

Missing Security Headers

Fehlende Konfiguration von Schutzmechanismen im HTTP-Header.

MITRE ATT&CK® Techniken

Reconnaissance
T1595

Active Scanning

ATT&CK

Aktives Scannen der Web-Infrastruktur nach Schwachstellen.

Mitigiert durch
Bot Management & Anti-ScrapingErweiterter SchutzMittel
CIS: 12.1OWASP: A04:2021
Rate Limiting & ThrottlingGrundschutzNiedrig
CIS: 12.1OWASP: API4
Initial Access
T1190

Exploit Public-Facing Application

ATT&CK

Ausnutzen von Schwachstellen in Internet-exponierten Diensten.

Mitigiert durch
Input Validation & SanitizationGrundschutzMittel
CIS: 16.11OWASP: A03:2021
Strict Transport Security (TLS 1.3)GrundschutzNiedrig
CIS: 6.3OWASP: A02:2021
Dynamic Application Security Testing (DAST)Erweiterter SchutzMittel
CIS: 18.1OWASP: ASVS
T1566

Phishing

ATT&CK

Zustellung schädlicher Inhalte über elektronische Kommunikation.

Mitigiert durch
Content Security Policy (CSP)GrundschutzMittel
CIS: 16.11OWASP: A03:2021
Security Headers (X-Frame / Content-Type)GrundschutzNiedrig
CIS: 16.11OWASP: A05:2021
Output Content FilteringGrundschutzNiedrig
NIST: AI-1.2OWASP: LLM02
Execution
T1059-007

JavaScript Injection

ATT&CK

Ausführung von schädlichem Code im Browser des Opfers.

Mitigiert durch
Content Security Policy (CSP)GrundschutzMittel
CIS: 16.11OWASP: A03:2021
Input Validation & SanitizationGrundschutzMittel
CIS: 16.11OWASP: A03:2021
Subresource Integrity (SRI)GrundschutzNiedrig
CIS: 16.11OWASP: A06:2021
Dynamic Application Security Testing (DAST)Erweiterter SchutzMittel
CIS: 18.1OWASP: ASVS
Security Headers (X-Frame / Content-Type)GrundschutzNiedrig
CIS: 16.11OWASP: A05:2021
Output Content FilteringGrundschutzNiedrig
NIST: AI-1.2OWASP: LLM02
Persistence
T1505-003

Web Shell

ATT&CK

Installation einer Hintertür auf dem Webserver.

Mitigiert durch
Input Validation & SanitizationGrundschutzMittel
CIS: 16.11OWASP: A03:2021
Dynamic Application Security Testing (DAST)Erweiterter SchutzMittel
CIS: 18.1OWASP: ASVS
Credential Access
T1539

Steal Web Session Cookie

ATT&CK

Abgreifen von aktiven Session-Tokens zur Umgehung der Authentifizierung.

Mitigiert durch
Secure Cookie AttributesGrundschutzNiedrig
NIST: PR.DS-1OWASP: A07:2021
HTTP Strict Transport Security (HSTS)GrundschutzNiedrig
CIS: 16.11OWASP: A05:2021
Strict Transport Security (TLS 1.3)GrundschutzNiedrig
CIS: 6.3OWASP: A02:2021
T1110

Brute Force

ATT&CK

Versuche, durch systematisches Ausprobieren Zugriff auf Konten oder API-Keys zu erhalten.

Mitigiert durch
Bot Management & Anti-ScrapingErweiterter SchutzMittel
CIS: 12.1OWASP: A04:2021
Rate Limiting & ThrottlingGrundschutzNiedrig
CIS: 12.1OWASP: API4
T1552

Credentials from Password Stores

ATT&CK

Auslesen von Passwörtern aus Web-Browsern oder Passwort-Managern.

Mitigiert durch
Output Content FilteringGrundschutzNiedrig
NIST: AI-1.2OWASP: LLM02
T1557

Adversary-in-the-Middle

ATT&CK

Abfangen von Kommunikation zwischen zwei Parteien.

Mitigiert durch
HTTP Strict Transport Security (HSTS)GrundschutzNiedrig
CIS: 16.11OWASP: A05:2021
Strict Transport Security (TLS 1.3)GrundschutzNiedrig
CIS: 6.3OWASP: A02:2021
Command & Control
T1568

Dynamic Resolution

ATT&CK

Dynamische Generierung von Zielen zur Verschleierung (Domain Fronting).

Mitigiert durch
Content Security Policy (CSP)GrundschutzMittel
CIS: 16.11OWASP: A03:2021
Subresource Integrity (SRI)GrundschutzNiedrig
CIS: 16.11OWASP: A06:2021
Exfiltration
T1020

Automated Exfiltration

ATT&CK

Automatisiertes Abgreifen von Daten über Schnittstellen.

Mitigiert durch
Bot Management & Anti-ScrapingErweiterter SchutzMittel
CIS: 12.1OWASP: A04:2021
Rate Limiting & ThrottlingGrundschutzNiedrig
CIS: 12.1OWASP: API4
Output Content FilteringGrundschutzNiedrig
NIST: AI-1.2OWASP: LLM02

Dein Szenario ist komplexer?

Die AYSOLI Experten unterstützen dich bei der Umsetzung deiner spezifischen Sicherheitsanforderungen.

Kostenloses Erstgespräch
E-Commerce System | IT-Sicherheit Checkliste für KMU · AYSOLI Security Hub