京東賬戶集中被盜拷問電商網站安全
本文講的是 : 京東賬戶集中被盜 拷問電商網站安全 , 【IT168 評論】最近一段時間以來發生的熱點網購安全事件要數京東賬戶餘額被盜事件了,有觀點認為是2011年底CSDN洩密事件的連鎖反應,也有網友認為這是一次新的洩密事件。究竟如何,電商網站安全性是否可以信任,電商應該如何做好網站安全,網友應該如何保障自己的權益?這次我們特別採訪了知道創宇研究總監、業界知名專家餘弦,請他和我們一起為大家解惑!
▲知道創宇研究總監餘弦
講到這次電商洩密事件的背後,餘弦說,也不一定就是CSDN洩密事件的連鎖反應,我們知道黑客活動其實一直很頻繁,只是這段時間國內比較大的安全事件——“密碼門”事件,讓公眾更關注網際網路安全。黑客活動的核心驅動力絕大多數還是利益,尤其是對電商網站的攻擊,如釣魚的猖獗、網馬植入、直接的刷庫行為等等。京東的這次賬號餘額被盜事件應該引起同行的一致警惕,而不是隔江相望,甚至幸災樂禍取笑京東。京東自己更應該重視。
安全是一個整體,為大家熟知的漏洞風險也是電商有的,如:跨站指令碼攻擊、SQL隱碼攻擊、系統弱口令等。不過電商網站自身的特別關注點:
1、使用者的敏感資訊洩露(手機號、郵箱、家庭地址等),這樣的資料被不法分子獲取後,其實很方便進入下一步的釣魚攻擊;
2、使用者賬戶安全,使用者的密碼按照統計規律,肯定還會有大量的弱口令。使用者賬戶安全是特別應該引起電商網站的重視,比如QQ、人人網、淘寶在這方面做的就很好,他們對使用者賬戶安全的態度值得借鑑;
3、還有小心自己的客服被社工,比如檢視了電商網站某XSS漏洞的頁面,導致客服的Cookie被盜取,甚至可以通過這個頁面獲取到客服內網IP地址、作業系統、瀏覽器等資訊。社工非常可怕,所謂的APT攻擊,找到一個最弱的突破口,然後步步為營;
4、電商在支付方面的二次確認應該更嚴謹,可能會因為一些邏輯上的漏洞導致二次確認被繞過;
談到這次洩密事件的責任問題,餘弦說,京東肯定是有責任的,即使京東宣稱是由於使用者密碼太弱或密碼是通用的(比如在CSDN這次被爆的密碼庫裡存在)導致這起事件,京東也得付至少50%的責任。線上交易有可能因為邏輯上的變通導致根本不需要二次確認就直接將賬戶餘額消費完,完備的二次確認非常重要。不過京東已經有“獨立的支付密碼機制”:http://safe.360buy.com/user/paymentpassword/findByPin.action建議預設開啟,提醒使用者設定,而且最好“頻繁”提醒使用者設定,否則很多使用者根本不會這樣做。那賬號又被黑,使用者還會把責任怪到京東身上。
總結這次京東賬戶洩密事件,餘弦談到了幾點做好電商網站安全的辦法:
1、一個完善的使用者賬戶安全機制。比如提醒使用者弱口令風險,甚至可以繫結手機號,當有使用者密碼變更、使用者賬號異常登入、異常支付、被異常暴力登入等都簡訊通知使用者,當然通知機制是使用者可配的。
2、一個完善的支付二次確認機制。功能可能是有,可是使用者不知道,那就等於沒有,所以第一目標是告訴使用者:“我有這個功能,而且很重要!”還有就是千萬不要出現低階的邏輯繞過缺陷。
3、HTTPS來保證資料安全傳輸。我們知道開啟全站HTTPS肯定會影響頁面的響應速度,但是至少和“賬戶安全”有關的頁面應該開啟HTTPS,小心的就是區域網抓包。然後嚴謹處理好Cookie的安全性,比如身份認證相關的Cookie資訊使用Httponly標誌,這點保證了XSS得到Cookie也無法利用。更關鍵的Cookie設定Secure標誌保證僅在HTTPS協議上傳輸。
4、一個良好的子域分離設計。千萬不要所有的業務功能都一籮筐的放在一個www域下,這樣會很慘,而且也不利於網站的業務擴充套件。比如來一個www域下的XSS,那就差不多可以搞定使用者在整個網站的所有許可權。這點其實電商網站都還做的不錯。
5、最後一點至關重要:請重視電商網站自己的安全部門/組,安全應該跟隨業務一起發展起來,早投入安全部門的建設,不會到了出安全問題了,亂投醫。
對於使用者,餘弦表示,要想保障自己的賬戶安全首先要有很強的安全意識。這段時間所發生的安全事件其實還是有很多正面作用,讓使用者更加註重自己的賬戶安全,重要密碼千萬不要通用,不要來個弱口令等。技術人可能會使用Firefox瀏覽器+noscript外掛來防禦一些危險的指令碼攻擊,還有很多輔助機制,但是普通使用者就做不到了。不過多經過媒體的曝光,使用者慢慢的就會意識到了,慢慢來,其實也是一種進步,這樣就夠了。使用者需要被引導,所以無論是電商網站、媒體等都需要不斷的進行提示,讓使用者的賬戶安全無形中越來越好。
隨著使用智慧手機的使用者越來越多,電商也開始重視起移動終端,這種基於移動網際網路的網購體驗給使用者帶來了前所未有的便利,也刺激了電商的銷售利潤。但是移動終端的安全也必須引起關注了。主業務功能可能足夠安全了,但是如果在移動網際網路端出現了缺陷,那整體還是不安全,比如手機上的應用,資料的安全、邏輯等可能就是另一套模型了。這套模型如果出現問題(比如:更弱的認證機制甚至是認證缺陷、儲存明文密碼在本地、更簡單的支付邏輯校驗導致出現支付漏洞等)那還是不行的。餘弦談到,其實這就需要設計這項業務的團隊具備足夠的安全意識與經驗,並且還要有更積極的態度配合好國內一批白帽子安全人員的反饋與建議也是很重要的。
原文釋出時間為:2015年7月6日
本文作者:kaduo
本文來自雲棲社群合作伙伴IT168,瞭解相關資訊可以關注IT168
原文標題 :京東賬戶集中被盜 拷問電商網站安全
相關文章
- 電商網站的安全性網站
- 圖靈社群是否存在賬戶安全問題?圖靈
- 集團職工門戶及個人網站網站
- LDAP網路賬戶LDA
- 網站盜鏈是什麼?盜鏈與廣告流量問題及如何防止網站
- 問題賬戶需求分析
- 客戶案例:Coremail聚焦高校郵箱盜號問題,築牢安全牆REMAI
- 乾貨 | 京東雲賬號安全管理最佳實踐
- 網站防盜鏈專家網站
- 《Steam賬號被盜》
- 如何尋找網站安全公司來解決網站安全被入侵問題網站
- 使用組策略進行賬戶安全配置
- 淘寶就“千萬賬戶資訊被盜”發宣告 還原事件真相事件
- 新型Android木馬可盜取銀行賬戶並抹除手機Android
- 京東商城現奇葩漏洞 可隨機進入他人賬戶隨機
- mysql賬戶新增遠端訪問MySql
- 三月提示:提防掛馬網站關注賬號安全網站
- 華納雲電商網站: 提高雲安全係數該怎麼做?網站
- 網站運營時的安全問題網站
- 狂攻網站15小時 簡訊駭客搶走近萬賬戶(轉)網站
- JanRain:超60%消費者使用社交媒體賬號登入電商網站AI網站
- php編寫大型網站問題集 (轉)PHP網站
- 火絨安全警報:疑似方正集團子公司簽名洩露 遭黑客利用盜取Steam賬號黑客
- Linux運維安全經驗-賬戶和登入安全Linux運維
- 避免微博賬號被盜 安全專家提醒一碼通行網友儘快修改密碼密碼
- PbootCMS網站安全設定解決網站被黑被篡改問題boot網站
- 網站安全網站
- 子賬戶及STS臨時賬戶呼叫OSS的常見問題及排查
- 網站集錦網站
- 電商網站之“全選功能”網站
- vue適合做電商網站麼Vue網站
- iOS 更換開發者賬戶的問題iOS
- 百度推廣賬戶大量被盜 眾多企業SAY GOOD BYEGo
- 安全運維之:Linux系統賬戶和登入安全運維Linux
- 客戶網站訪問慢分析和排查過程網站
- 銀行木馬再次入侵谷歌應用商店、英偉達員工憑證在網路攻擊中被盜|3月2日全球網路安全熱點谷歌
- 大型網站架構系列:電商網站架構案例(1)網站架構
- 大型網站架構系列:電商網站架構案例(2)網站架構