Jscrambler, şirketlerin e-ticaret sitelerinde çalışan JavaScript kodunu kontrol etmelerine ve en son PCI DSS (Ödeme Kartı Endüstrisi Veri Güvenliği Standartları) v 4.0 ile uyumlu hale getirmelerine yardımcı olacak ücretsiz bir araç yayınladı.
PCI Security Standards Council, Mart 2022’de PCI DSS v4.0’ı piyasaya sürdü ve uygulamaya başlamadan önce önceki sürümlerin iki yıllık aşamalı olarak kullanımdan kaldırılmasına başladı. Gelecek yıl – 31 Mart 2025 – tüm perakendeciler ve e-ticaret sitelerinin – gerçekten de çevrimiçi ödeme kartlarını işleyen herkesin – PCI DSS 4.0 gereksinimlerine uyması gerekecek. Jscrambler’ın PCI DSS JavaScript Uyumluluk Aracı, kuruluşların e-ticaret sitelerindeki JavaScript’in iki v4.0 gereksinimine uyup uymadığını değerlendirmesine yardımcı olur: (6.4.3)’e karşı koruma ve bir satıcıdan veya onun satıcısından gelen tüm komut dosyalarına yapılan gözden geçirme saldırılarını tespit etme (11.6.1). üçüncü ve dördüncü taraf yükleniciler.
Bölüm 6.4.3, şirketlerin her komut dosyasının yetkilendirildiğini onaylamasını, komut dosyalarının bütünlüğünü sağlamasını ve her komut dosyasının neden gerekli olduğunu açıklayan eksiksiz bir envanter tutmasını gerektirir. Bölüm 11.6.1, web sitelerinde üçüncü bir şahsın iframe ödeme formuna yer veren satıcılar için geçerlidir; periyodik olarak (genellikle her yedi günde bir) HTTP üst bilgisi ve ödeme sayfasının değerlendirilmesini zorunlu kılar ve sayfadaki değişiklikleri satıcıya bildirir.
Saldırganlar Magento, WooCommerce, Shopify ve WordPress sitelerine kötü amaçlı kod enjekte ederek web’de gezinme kampanyaları başlattığından, kayma önleme gereksinimleri gereklidir. Magecart skimmers, Ticketmaster ve British Airways’inkiler de dahil olmak üzere 2 milyon web sitesinde bulundu.
Jscrambler aracı, bir tüccarın sitesindeki tüm komut dosyalarını arar ve derler, komut dosyası doğrulaması ve yetkilendirmesi gerçekleştirir ve uyumluluk durumu da dahil olmak üzere sonuçları günlüğe kaydeder. Şüpheli olarak kabul edilen eylemleri vurgulayarak her komut dosyasını görselleştirir. Komut dosyalarını işlev açısından analiz eder ve her birini kullanmak için gerekçeler üretir. Komut dosyalarına müdahale edildiğinde, ödeme sayfasının içeriği yetkilendirilmeden değiştirildiğinde ve HTTP başlığı değiştirildiğinde uyarılar tetiklenir. Şirket, tüm bu işlevlerin manuel uyumluluk çabalarını azalttığını ve denetime hazır raporların oluşturulmasına yardımcı olduğunu söyledi.