Sårbarhetsskanning vs. pentest: när behöver ni vad?

Många e-handlare blandar ihop dessa begrepp, vilket leder till antingen överspenderande eller — värre — falsk trygghet. Här är en rak jämförelse:

Vår rekommendation: kör kontinuerliga sårbarhetsskanningar som baslinje, och komplettera med riktade pentester minst en gång per år samt vid varje väsentlig systemförändring. Det ena ersätter inte det andra.

Managerad säkerhetsövervakning

De fem vanligaste sårbarheterna i e-handelsplattformar

Baserat på vad vi ser i Opsios SOC och i pentester vi faciliterar åt våra kunder, återkommer samma typer av brister gång på gång. OWASP Top 10 är en bra utgångspunkt, men för e-handel finns det specifika mönster:

1. Bristfällig autentisering och sessionshantering

Svaga lösenordspolicyer, avsaknad av MFA i admin-paneler, sessionstoken som inte invalideras vid utloggning, och session fixation-attacker. I e-handel är admin-åtkomst särskilt kritisk eftersom den ger tillgång till alla kunddata och orderhistorik.

2. Logikbrister i betalflöden

Prismanipulation genom att ändra klientsidig data, race conditions vid kuponganvändning (använd samma rabattkod flera gånger samtidigt), och möjligheten att avsluta en order utan att betalningen faktiskt genomförs. Dessa brister hittas aldrig av automatiserade skanningar.

3. API-sårbarheter

Moderna e-handelsplattformar är API-drivna. Headless commerce, mobilappar och tredjepartsintegrationer skapar en stor angreppsyta. Vanliga brister: saknad autentisering på interna API-endpoints, överdriven dataexponering i API-svar (mer information returneras än vad klienten behöver), och avsaknad av rate limiting.

4. Cross-Site Scripting (XSS) i produktrecensioner och sökfält

Stored XSS via produktrecensioner är en klassiker. En angripare lägger in skadlig JavaScript-kod i en recension, och varje kund som besöker produktsidan kör koden i sin webbläsare. Det kan användas för att stjäla sessionstoken eller visa falska betalformulär.

5. SQL Injection och NoSQL Injection

Trots att detta är en välkänd sårbarhet sedan decennier ser vi fortfarande injektionsbrister, särskilt i äldre e-handelsplattformar och anpassade moduler. Moderna ORM-lager skyddar i grunden, men anpassade sökfunktioner och filtreringslogik bygger ofta egna databasanrop.

Hur en e-handels-pentest genomförs steg för steg

Fas 1: Scope och planering

Innan ett enda paket skickas definierar vi scope tillsammans med er. Vilka miljöer testas — produktion, staging eller båda? Vilka system ingår: webbshop, admin-panel, API:er, mobilapp, betalintegrationer? Vilka tider är acceptabla? Vi upprättar ett skriftligt avtal (Rules of Engagement) som skyddar båda parter.

Fas 2: Rekognosering och kartläggning

Testaren kartlägger hela angreppsytan: subdomäner, exponerade tjänster, teknikstacken (vilken e-handelsplattform, vilken server, vilka tredjepartsbibliotek). För e-handel innebär detta även att förstå betalflödet, identifiera vilka PSP:er som används och hur data flödar mellan system.

Fas 3: Sårbarhetsdetektion och verifiering

Här kombineras automatiserade verktyg (Burp Suite Pro, SQLMap, Nuclei) med manuell testning. Verktyg identifierar lågt hängande frukter — manuell expertis hittar logikbrister, race conditions och kedjeangrepp där flera mindre brister kombineras till ett allvarligt angrepp.

Fas 4: Exploatering och påvisande

Varje identifierad sårbarhet verifieras genom kontrollerad exploatering. Målet är inte att orsaka skada utan att dokumentera exakt vad en angripare kan åstadkomma. Kan vi läsa andras kunddata? Kan vi ändra priser? Kan vi eskalera behörigheter från vanlig kund till admin? Varje steg dokumenteras med bevis.

Fas 5: Rapportering och åtgärdsplan

Rapporten är inte en lista med teknisk jargong. Vi levererar:

• Executive summary för ledning och styrelse — affärsrisk i klartext
• Teknisk detalj per sårbarhet med proof-of-concept, CVSS-poäng och prioritering
• Åtgärdsrekommendationer rankas efter risk och implementeringskomplexitet
• Omtest efter åtgärd för att verifiera att bristerna faktiskt är stängda

Regulatoriska krav: PCI DSS, GDPR och NIS2

E-handlare som hanterar kortbetalningar omfattas av PCI DSS. Version 4.0, som är fullt gällande sedan mars 2025, skärper kraven på penetrationstestning i krav 11.4. Testen ska täcka hela CDE (Cardholder Data Environment), utföras av kvalificerade resurser, och resultaten ska dokumenteras med verifierad åtgärd.

GDPR ställer enligt artikel 32 krav på att ni implementerar lämpliga tekniska och organisatoriska åtgärder och att ni regelbundet testar, utvärderar och bedömer effektiviteten i dessa åtgärder. En dokumenterad pentest-cykel är ett av de starkaste bevisen ni kan presentera vid en granskning från Integritetsskyddsmyndigheten (IMY).

NIS2-direktivet, som trädde i kraft i EU under 2024–2025, utvidgar kretsen av organisationer som omfattas av cybersäkerhetskrav. Många e-handelsföretag — särskilt de som klassas som digitala tjänsteleverantörer — kan falla under direktivets tillämpningsområde och behöver kunna visa systematisk säkerhetstestning.

Compliance och regelefterlevnad i molnet

Välja rätt testmetod: black-box, grey-box eller white-box

Ingen enskild metod ger hela bilden. Kombinera dem beroende på vad ni vill uppnå:

Vår rekommendation för e-handel: börja med grey-box som bas (det speglar den vanligaste hotvektorn — en angripare som skaffar sig ett kundkonto), komplettera med black-box för perimetern och white-box för kritiska betalkomponenter.

Vad händer efter pentesten: från rapport till faktisk säkerhet

En pentestrapport som samlar damm i en mapp är värdelös. Det verkliga värdet uppstår i åtgärdsfasen. Så här säkerställer ni att pentestens fynd faktiskt förbättrar er säkerhet:

Inom 48 timmar: Triagera kritiska och höga fynd. Om pentesten visar att kunddata kan läckas eller betalflödet kan manipuleras, är det akut.

Inom 2 veckor: Åtgärda kritiska och höga sårbarheter. Boka omtest för att verifiera.

Inom 30 dagar: Adressera medelhöga fynd och implementera långsiktiga förbättringar (WAF-regler, loggningsförbättringar, härdning).

Löpande: Integrera pentestens fynd i er utvecklingsprocess. Om pentesten hittar XSS, se till att era utvecklare utbildas i säker output encoding och att CI/CD-pipelinen inkluderar SAST-verktyg som fångar liknande brister.

Managerad DevOps med säkerhet inbyggd

Pentestning av molnbaserad e-handel: särskilda överväganden

De flesta moderna e-handelsplattformar körs i molnet — på AWS, Azure eller GCP. Det innebär att pentestens scope måste utvidgas bortom applikationslagret:

• IAM-konfiguration: Har era molnroller minsta möjliga behörighet? Kan en komprometterad applikation eskalera till att läsa från S3-hinkar med kunddata?
• Container- och Kubernetes-säkerhet: Om ni kör på EKS, AKS eller GKE behöver poddsäkerhet, nätverkspolicyer och secrets-hantering testas.
• Serverless-funktioner: Lambda/Azure Functions som hanterar webhooks från betalningsleverantörer har ofta överdrivna behörigheter.
• Molnleverantörens delade ansvarsmodell: Leverantören säkrar infrastrukturen — ni ansvarar för konfigurationen. Felkonfigurerade S3-hinkar och publikt exponerade databaser är fortfarande bland de vanligaste incidenterna vi hanterar.

I eu-north-1 (Stockholm) och Sweden Central kan ni uppfylla svenska datalagringskrav, men molnkonfigurationen måste fortfarande testas aktivt.

Managerade molntjänster

Kostnaden för att inte testa

Att undvika pentestning för att spara pengar är en bedräglig kalkyl. Enligt Flexeras State of the Cloud har säkerhet konsekvent rankats som den högst prioriterade utmaningen för molnbaserade verksamheter. Kostnaden för ett dataintrång — incidenthantering, forensisk analys, kundbortfall, regulatoriska böter (GDPR medger upp till 4 % av global årsomsättning) och varumärkesskada — överstiger kostnaden för regelbunden testning med flera storleksordningar.

En proaktiv pentest-cykel, kombinerad med kontinuerlig sårbarhetsskanning och FinOps-driven kostnadsoptimering, ger er kontroll över både säkerhet och budget.

Vanliga frågor

Hur ofta bör en e-handelsplattform penetrationstestas?

Minst en fullständig pentest per år, plus riktade tester vid större förändringar som ny betalintegration, plattformsuppgradering eller lansering av nytt API. PCI DSS 4.0 kräver penetrationstestning minst årligen och efter väsentliga ändringar i infrastrukturen.

Vad kostar en pentest för e-handel?

Priset varierar kraftigt beroende på scope. En avgränsad test av betalflödet kan kosta från 50 000 SEK, medan en fullständig test av hela plattformen inklusive API:er, mobilapp och intern infrastruktur hamnar på 150 000–400 000 SEK. Investeringen är en bråkdel av kostnaden för ett faktiskt dataintrång.

Vad är skillnaden mellan en sårbarhetsskanning och en pentest?

En sårbarhetsskanning är automatiserad och identifierar kända brister utan att verifiera dem. En pentest innebär att en säkerhetsexpert manuellt försöker utnyttja bristerna för att visa faktisk affärspåverkan. Skanningen hittar möjliga problem — pentesten bevisar vilka som är verkliga hot.

Kan vi pentesta utan att störa produktionen?

Ja, med rätt planering. De flesta tester körs mot staging-miljöer som speglar produktion. Om produktionstester krävs schemaläggs de under lågtrafik, med Opsios SOC som övervakar i realtid för att omedelbart avbryta vid oväntad påverkan.

Uppfyller en pentest GDPR-krav?

GDPR kräver enligt artikel 32 att ni vidtar lämpliga tekniska åtgärder och regelbundet testar dem. En dokumenterad pentest är ett av de starkaste bevisen ni kan visa Integritetsskyddsmyndigheten (IMY) för att ni tar dataskydd på allvar. Det är dock ett komplement till, inte en ersättning för, ett fullständigt dataskyddsarbete.

For hands-on delivery in India, see disaster recovery delivery.

For hands-on delivery in India, see gcp managed delivery.