細數電商Web安全七宗罪！

圖文細數電商類Web安全七宗罪：內網滲透、邏輯缺陷、常規Web漏洞、撞庫攻擊、金額篡改、越權操作、社會工程。告訴你各項風險的滲透重點以及應對措施，教你避免安全風險的編碼原則。傳統網站也適用！

文章目錄

一、電商類常見安全問題簡介

1.1 電商網站安全威脅七宗罪

1.2?電商網站安全問題與傳統Web安全問題對比

1.3 可能的風險點

1.4?攻擊路徑——內網滲透最為危險

1.5?電商網站安全威脅七宗罪之——越權操作

1.6?電商網站安全威脅七宗罪之——金額篡改

1.7?電商網站安全威脅七宗罪之——邏輯缺陷

1.8?電商網站安全威脅七宗罪之——撞庫攻擊

二、傳統安全問題簡介

2.1 常見業務系統安全威脅匯總

2.2 相應的安全控制措施

2.3 信息系統應用的安全需求

2.4 電商網站安全威脅七宗罪之——常規Web漏洞

2.4.1 Web應用安全編碼原則

2.4.2 漏洞測試-端口掃描

2.5 電商網站安全威脅七宗罪之——內網滲透

2.5.1 一套完整的WEB攻擊流程

2.5.2 內網滲透——木桶效應的終極體現

2.5.3 內網安全缺失

2.6 電商網站安全威脅七宗罪之——社會工程學

三、應對之道

3.1 安全漏洞掃描

3.2?安全配置檢查

3.3?安全滲透測試

3.4 問題解決方案

一、電商類常見安全問題簡介

1.1 電商網站安全威脅七宗罪

1.2?電商網站安全問題與傳統Web安全問題對比

1.3 可能的風險點

1.4?攻擊路徑——內網滲透最為危險

1：Web應用訪問路徑：Web應用攻擊（漏洞利用，放置木馬，提權）

2：內網滲透測試：端口掃描、弱口令掃描、漏洞掃描、漏洞利用

3：APT攻擊：攻擊路徑（一封電子郵件、一款綁馬的軟件、一個掛馬的網站都會在客戶端植入惡意程序）

4：無線接入攻擊

5：移動客戶端攻擊

6：社會工程學

7：釣 魚攻擊（結合社會工程學）

8：DDOS攻擊

1.5?電商網站安全威脅七宗罪之——越權操作

凡是僅靠傳入參數就進行數據庫查詢的功能即存在越權

越權的種類

平行越權（訂單，留言，送貨地址，修改信息，修改密碼…）

垂直越權（修改信息，修改密碼，創建用戶..）

越權查詢

越權修改

直接越權

間接越權

……

OWASP Web應用漏洞Top10

越權操作的危害

泄露用戶數據，非法篡改他人業務，權限提升。無法通過WAF以及常規手段發現

越權形式

造成影響

1.6?電商網站安全威脅七宗罪之——金額篡改

可能被篡改的變量

交易總金額

單價

商品數量

分期數量

正負“對沖”

負值反充

…

金額篡改的危害

直接造成經濟損失，無法通過WAF發現，但可通過二次校驗以及人工確認的方式發現

1.7?電商網站安全威脅七宗罪之——邏輯缺陷

常見邏輯缺陷

1.8?電商網站安全威脅七宗罪之——撞庫攻擊

撞庫示意圖

撞庫攻擊的利用條件很簡單——只要存在用戶名，密碼的驗證接口即可，但是造成的經濟損失是很大的。

掃號器

暴力破解形式

二、傳統安全問題簡介

2.1 常見業務系統安全威脅匯總

2.2 相應的安全控制措施

2.3 信息系統應用的安全需求

2.4 電商網站安全威脅七宗罪之——常規Web漏洞

SQL注入

XSS

文件包含/路徑遍歷

任意文件上傳

開源代碼風險

1.防范常規的WEB漏洞，從開發與設計的角度需要遵循安全編碼的原則，如Common Criteria

2.編碼原則

3.安全觀念培養

1）相似性漏洞挖掘

2）重要方法的參數校驗

防止重要參數被篡改

3）公開 信息保護

4）通過配置文件防止信息泄露

5）程序中禁止出現明文密碼

2.4.2 漏洞測試-端口掃描

1）端口掃描器

2）WEB掃描器

2.5 電商網站安全威脅七宗罪之——內網滲透

2.5.1 一套完整的WEB攻擊流程

2.5.2 內網滲透——木桶效應的終極體現

內網滲透充分體現了木桶效應的精髓：安全不在于它做得好的方面有多好，而在于做得差的方面有多差。

什么地方通常是木桶的短板:

2.5.3 內網安全缺失

2.6 電商網站安全威脅七宗罪之——社會工程學

社會工程-社區、IM

社工庫-信息買賣交易的集散地

社會工程-郵件仿冒及惡意附件

三、應對之道

3.1 安全漏洞掃描

輸出成果

了解漏洞分布情況

獲知漏洞修補方法

提高人員安全意識

3.2?安全配置檢查

輸出成果

了解系統安全狀況

解決安全防范短板

充分滿足合規要求

3.3?安全滲透測試

輸出成果

充分挖掘應用缺陷

精細粒度威脅分析

提升人員安全技能

3.4 問題解決方案

1）預防越權操作

–任何涉及用戶權限的操作均與會話關聯

–參數的加密以及模糊化

2）預防金額篡改

–減少前端金額參數的輸入

–將價格與商品編號關聯

–服務端嚴格限制金額、數量的類型以及范圍

–后臺人工校驗

3）預防邏輯漏洞

–進行業務流程梳理

–避免通過前端進行限制

–增加共享數據互斥機制

–不要相信用戶輸入

4）預防SQL注入

–使用預編譯，綁定變量（推薦）

–使用存儲過程

–檢查數據類型

–使用安全函數

–過濾特殊字符和語句

5）XSS的防御

–輸入檢查

過濾

–輸出檢查

轉義，編碼

（一種HTML編碼就能解決問題？）

–不同情況采用不同編碼

–HTML標簽屬性輸出：HTML編碼

–script標簽事件：javascript編碼

通用安全

版權聲明：本文內容由網絡用戶投稿，版權歸原作者所有，本站不擁有其著作權，亦不承擔相應法律責任。如果您發現本站中有涉嫌抄襲或描述失實的內容，請聯系我們jiasou666@gmail.com 處理，核實后本網站將在24小時內刪除侵權內容。