Test bezpieczeństwa platformy będącej sklepem internetowym zakłada badanie wszystkich standardowych zagrożeń dotyczących bezpieczeństwa aplikacji WWW, rozszerzone w wybranych aspektach o zagrożenia charakterystyczne dla tej grupy aplikacji.
W szczególności zakłada on badanie bezpieczeństwa aplikacji w takich obszarach jak:
- Weryfikacja procesu zakupowego – obejmuje ona m.in. próby manipulacji cenami produktów przy składaniu zamówień oraz wszelkie inne próby manipulacji działaniem aplikacji w taki sposób, by zweryfikować możliwość narażenia sklepu na zrealizowania zamówienia w sposób, który wiąże się z bezpośrednimi startami finansowymi.
- Analiza funkcji odpowiedzialnych za realizację kuponów rabatowych oraz innych form zniżek – ten obszar zakłada weryfikację takich zagrożeń jak możliwości wielokrotnego wykorzystania tego samego kuponu w wielu transakcjach, ocenę stopnia skomplikowania ciągu znakowego będącego kuponem jak i możliwość przeprowadzenia nieautoryzowanej enumeracji kodów rabatowych. Weryfikacja obejmować może również sprawdzenie czy kody rabatowe możliwe są do zrealizowania tylko dla produktami, do których zostały przypisane.
- Testy mające na celu w podstawowym zakresie ustalenie poziomu bezpieczeństwa przechowywanych i przetwarzanych danych osobowych klientów.
- Ocena bezpieczeństwa integracji sklepu z bramkami płatności – weryfikacja zakłada przede wszystkim analizę możliwości manipulacji wysokością kwoty transakcji, ale również próby sfałszowania wyniku transakcji (powodzenie/niepowodzenie).
- Analiza bezpieczeństwa infrastruktury oraz wykorzystywanych komponentów systemu – zakłada ona ocenę bezpieczeństwa wykorzystywanego serwera WWW oraz bazy danych jak i odpowiedni poziom konfiguracji tego oprogramowania.
- Weryfikacja występowania błędów logicznych – ta klasa zagrożeń może obejmować podatności pozwalające na ominięcie kroków koniecznych do wykonania lub skutkujących możliwością ominięcia lub nadużycia procesów, które zaimplementowane są w aplikacji.
- Ocena ryzyka związanego z możliwością przeprowadzenia ataków automatycznych, które mogą mieć na celu wyczerpanie lub zablokowanie dostępności sprzedawanych towarów dla pozostałych klientów sklepu.
- Analiza bezpieczeństwa oprogramowania klasy CMS, stanowiącego integralną część sklepu internetowego, wykorzystywaną do zarządzania treścią serwisu. Weryfikacja obejmuje m.in. wykrycie podatności wymienionych w zestawieniu OWASP Top 10.
- Weryfikację występowania oraz konfiguracji protokołu bezpiecznej komunikacji HTTPS.