Penetration test eCommerce

Test manuali e tecnici su checkout, account, API, CMS, server e flussi critici

Un eCommerce non deve proteggere solo il sito: deve proteggere ordini, clienti, pagamenti, catalogo e integrazioni.

Il penetration test simula attacchi realistici per capire cosa può fare davvero un attore malevolo dentro i limiti concordati dello scope.

Ambiti tipici

Login, registrazione, recupero password e area cliente.
Carrello, coupon, checkout, ordini e resi.
API, webhook, feed, integrazioni gestionali e corrieri.
CMS, plugin, moduli, pannelli admin e ruoli utente.
Server, configurazioni, permessi, header e sessioni.

Problemi che cerchiamo

Accessi non autorizzati a ordini o dati clienti.
Bypass di prezzo, sconti, coupon o regole checkout.
Upload insicuri, injection, XSS, CSRF e IDOR.
API senza controlli coerenti.
Configurazioni deboli su server o CMS.

Output

Report con severità, impatto e riproducibilità.
Proof of concept dove sicuro e concordato.
Priorità di remediation.
Riunione tecnica di spiegazione.
Retest dopo le correzioni, se previsto.

Quando ha senso farlo

Il pen test è utile prima di una messa online importante, dopo una migrazione, dopo lo sviluppo di nuove API o quando il sito gestisce volumi, dati o processi che rendono costoso un incidente.

Se serve una prima fotografia del rischio, può bastare un vulnerability assessment sito web. Se invece bisogna verificare scenari concreti su account, checkout e API, il penetration test è più adatto.

FAQ

Il test può bloccare l'eCommerce?

Lo scope serve proprio a evitare impatti inutili. Definiamo ambiente, finestre, limiti e azioni consentite prima di iniziare.

Serve avere il codice sorgente?

Non sempre. Possiamo lavorare black-box, grey-box o white-box. La scelta dipende dall'obiettivo del test.

È utile anche per PrestaShop o WooCommerce?

Sì, soprattutto quando ci sono moduli, plugin, customizzazioni, API e aree cliente con dati sensibili.

Definiamo lo scope del pen test