PCI DSS 是基准： 电子商务中 Web 应用和 API 保护的必要性

虽然并非首次推出，但最新的 PCI 标准显著扩大了指导范围。 多年来，人们常误以为，“我没问题，我有防火墙，算完成任务了。” 这种误解现在已被彻底打破。

随着应用现代化、全渠道数字接触点的普及，以及攻击手法不断升级，我们必须增加多重安全控制措施来满足PCI DSS合规要求，包括支付脚本保护、API安全、防范受损凭证的快速侦测与响应，以及定期漏洞扫描。

正如《2025 年 Gartner 云 Web 应用与 API 保护市场指南》所指出，随着最新 PCI 标准要求对所有支付脚本实施安全控制，客户端保护的重要性日益凸显。

随着架构去中心化和软件组件在混合云与多云环境中的分布，Web 应用变得愈发复杂。 应用基础设施的解耦和软件供应链的扩展让针对业务逻辑和客户端浏览器的威胁能够深入渗透，成为工业化攻击生命周期中的重要环节。

客户端攻击如信息窃取者，可以用来收集用户凭证，随后被用于大规模自动化攻击。如果不及时缓解，这些攻击可能导致账户被接管和欺诈行为。

Formjacking 将恶意 JavaScript 注入在线表单，在浏览器层面窃取用户输入。 它通常利用第三方脚本中的漏洞执行，难以通过传统的集中式安全控制检测到。

Magecart 是一组专门从事网页窃取的网络犯罪团伙的总称，他们通过注入 JavaScript 代码来窃取结账时的支付数据，从而瞄准电子商务网站。

Web 应用防火墙（WAF）依然是重要的安全控制手段，特别是新标准指出所有漏洞都会给攻击者留下可乘之机，必须定期加以修复。 虽然许多 WAF 能保护 API，但现代应用开发的高速节奏需额外能力，能动态识别并自动保护深度嵌入业务逻辑或第三方生态系统中的端点，最好能在代码和测试阶段实现。

虽然软件生命周期流程和安全编码技术指引方向，我们需要持续进行风险评估，并在生产环境中实施强有力的运行时安全防护，包括客户端浏览器、前端 Web 应用和后端 API，才能有效抵御多重威胁路径下针对高度互联数字体验的攻击。 

漏洞是软件中的缺陷或薄弱环节，攻击者可能利用这些来入侵系统。 如今，应用基本上是基于API的系统，后端的业务逻辑面临极大滥用风险。

F5 Labs研究指出，电子商务领域遭遇了最高比例的高级攻击之一，44.82%的移动撞库攻击属于高级类型。 攻击者利用多种工具模拟浏览器、移动设备和用户行为，力图规避检测，手段包括生成有效令牌、伪造遥测信号以及模拟键盘和鼠标操作。 他们不断调整手法以突破防线，从网络应用转向移动端，或提升攻击的策略、技术与流程。

针对电子商务领域的攻击还利用经销商机器人滥用添加到购物车功能，从而阻碍真实客户完成交易。 在分析的超过 2000 亿个网页和 API 请求中，发现超过五分之一的添加到购物车交易由自动化程序完成。

此外，机器人利用生成式人工智能操控用户评论，制造出极具真实性的虚假评价。

即便是在电子商务领域，F5 实验室的威胁研究也发现，时尚行业是受爬虫攻击最严重的行业，爬虫从目标中大量提取数据和内容，占据了所有网络流量的53.23%。 爬取行为会让企业在定价上处于劣势，并威胁到知识产权安全。

最新的PCI DSS提出了多项建议，强调采用有针对性的风险分析，而非传统的企业范围风险评估。

具体来说，更新后的标准通过两项自客户端要求应对日益增加的客户端攻击威胁，这些要求将于2025年3月31日生效，但并未规定组织应如何满足这些要求。

这些新规定确认恶意客户端脚本已成为支付卡行业日益严重的安全威胁。  应对这些风险的传统手段，包括通过内容安全策略（CSP）阻止未经授权的代码注入和利用子资源完整性（SRI）验证第三方应用未被篡改，实施和维护都非常复杂，尤其在当前AI时代，客户关注度的激烈竞争推动了数字体验的持续升级。

客户期望能够轻松完成交易，不容忍延迟、故障，尤其不能接受安全事件。 常见的安全控制措施，如网页应用防火墙，往往无法充分保护客户端浏览器或后端 API。 通过 CAPTCHA 提供用户挑战的机器人管理解决方案难以真正阻止技术娴熟的网络犯罪，反而容易让用户感到沮丧。 甚至多因素认证也可能被绕过。

攻击者会根据平台、行业和可利用的业务逻辑采用不同的技术手段，对于电子商务来说，潜在买家无法将商品添加到购物车是一大威胁。 这关系到交易的成功、带来的收入以及客户忠诚度。