電商網站的安全性
0x00 背景
電商網站由於是直接涉及到金錢的交易,對其本身的安全性要求很高。
這樣才能保證普通網民在其網站做金錢交易的時候,不會發生安全問題。
雙11剛過,看著那一個一個突破以往的數字,讓人驚歎網購的力量。
但是這背後,可能存在哪些安全性的問題呢?
普通網民在網購的時候應該注意些什麼呢?
從國業內影響力最大的漏洞報告平臺wooyun上來看一下吧(拿淘寶,京東,蘇寧做例子做個統計。)。
0x01 細節
淘寶
淘寶號稱亞洲最大、最安全的網上交易平臺。
雙11最耀眼的網購平臺,taobao在wooyun上被提交的漏洞,在電商上算得上是最多的。
或許是樹大招風吧,對其感興趣的白帽子也很多,所以導致平臺上taobao的漏洞多於其他電商。
但是國內電商平臺本身的安全性來講,我相信淘寶其平臺本身肯定是最好的。
來看一下淘寶網的漏洞統計:
xss漏洞
關於xss漏洞是指攻擊者可在對方網站插入自己可供的一段js程式碼,從而控制瀏覽者的瀏覽器的部分許可權。
xss的危害通常在sns社群中顯現出來,有人會拿來做惡作劇、做蠕蟲,對使用者形成騷擾,產生垃圾資訊。
有人會拿來誘惑使用者點選攻擊連結,從而盜取使用者身份。
在網購平臺上來講,最大的利用當屬釣魚購物,這種可以直接轉化為利益的攻擊方式:
從wooyun上的一個案例中可窺探一下針對taobao做黑產的一角:
幾個含金量很高的xss技巧:
WooYun: 淘寶網COOKIES盜取[flash程式設計安全+apache http-only cookie 洩漏利用]
WooYun: 一個flash的0day導致的淘寶網儲存xss 【續集】
url跳轉
url跳轉漏洞的介紹見此:
url跳轉同樣是經常被用來釣魚。
透過跳轉繞過阿里旺旺的釣魚網址檢測系統:
釣魚的其他手段
在廠商已經把安全性做了很好的前提下,仍然不能保證網民一定不會被釣魚。
下面看看一些其他的釣魚手段:
釣魚淘寶賣家,收集密碼的後臺被白帽子拿下上報wooyun
這個style使用的讓人眼前一亮:
程式設計缺陷
WooYun: 淘寶第三方應用許可權驗證錯誤(可修改19.8萬店鋪任意寶貝標題)
修改ccs樣式修改商品的資訊,人才啊:
WooYun: 手機淘寶網session劫持,可進一步發展為蠕蟲
這種支付的漏洞,真沒想到taobao也會有:
WooYun: 淘寶網,任何人可隨意拿走任意店鋪、任意商品資訊
業務邏輯
WooYun: 淘寶賣家0元加入消保,並且點亮消保圖示,不用話1000元了
客戶端問題
WooYun: 阿里旺旺的一個遠端任意程式碼執行漏洞(傳送訊息即中)
WooYun: 淘寶瀏覽器3.0.2.604修改配置可能導致本地的DLL注入
WooYun: 淘寶應用iphone設計缺陷可無限制猜試密碼
WooYun: 淘寶android手機客戶端登陸資訊可被鍵盤記錄
伺服器配置問題
資訊洩露
WooYun: (新) 淘寶網成交記錄使用者ID洩露漏洞(附上掃號程式)
能猜到這個地址,我只想說,人才:
web程式其他漏洞
WooYun: 淘測試多處SQL隱碼攻擊及任意檔案上傳BUG
struts惹的禍:
struts這個框架近幾年被爆多次遠端程式碼執行漏洞,導致很多使用改框架的公司受害:
WooYun: 淘寶某分站最新Struts命令執行漏洞又一枚
其他
即使平臺本身沒有問題,也會有人做各種釣魚的頁面,採用各種手段來騙取網購使用者在其製作的假網站中消費,騙取錢財。
針對taobao的釣魚程式:
針對釣魚網址taobao的確比較難直接將其關閉,但是也做了很多措施。
如下面白帽子提交漏洞:
下面的taobao廠商的回覆:
感謝反饋。
這類問題不在淘寶控制範圍內,我們沒辦法限制他的產生,但一直在盡力控制釣魚連結對使用者產生的危害:
1. 我們會在旺旺聊天資訊中提示風險,同時建議使用者不在旺旺以外的IM軟體中談淘寶相關的交易。
2. 我們會對IM旺旺和會員反饋進行監控,結合各類檢測模型,儘量在第一時間發現新產生的釣魚連結,在IM中進行封禁。
3. 我們積極與外部廠商(瀏覽器、防毒軟體、安全管理軟體等)合作,將釣魚連結資訊同步,起到更好的保護作用。
4. 我們將馬上上線一個釣魚連結線上舉報平臺,歡迎各位積極舉報。
例如最近被公開很火的針對路由使用預設密碼
WooYun: 雙十一淘寶論壇驚現“路由器CSRF”惡意攻擊程式碼(其他論壇可能一樣中招)
淘寶總結
以上漏洞並未列出全部的漏洞,提了一些比較典型的問題。
淘寶業務較多,邏輯複雜,出現了struts命令執行等獲得伺服器的漏洞,以及洩露匿名使用者資訊,支付漏洞以及xss,url跳轉可被釣魚的漏洞等。
京東
京東商城-專業的數碼網上購物商城
由於京東線上業務邏輯遠沒有淘寶那麼複雜,所以漏洞總數在wooyun上並不如taobao多。
但是漏洞的嚴重程度,遠大於taobao。
從漏洞的忽略程度來看,京東12年的時候可能剛組建專門的安全團隊。
對安全問題逐漸重視。
xss也有很多,就不一一列舉了
安全事件
程式邏輯
WooYun: 京東物流後臺未授權訪問可以修改收貨狀態(刷返券)
URL跳轉
資訊洩露
客戶端問題
SQL隱碼攻擊
struts
京東從.net轉向java,使用的struts,被坑慘了:
伺服器配置
邏輯問題
其實一個公司對安全的重視程度怎麼樣,從下面這個漏洞就可以基本看出個大概。
該漏洞詳情還未完全公開,核心白帽子可以檢視:
京東總結
總體來說存在的安全問題大大小小也不少,但是相對於以前,已經對安全重視很多。
希望京東內部能夠更加重視安全,畢竟做電商的,使用者金錢有了損傷還是很嚴重的。
蘇寧易購
蘇寧易購,是蘇寧電器集團的新一代B2C網上商城,於2009年8月18日上線試運營。2010年1月25日,蘇寧電器在南京總部宣佈,公司的B2C網購平臺“蘇寧易購”將於2月1日正式上線,並將自主採購、獨立運營,蘇寧電器也由此正式出手電子商務B-t-C領域。
sql注入
嗯。。。sql注入也會有這麼多:
WooYun: 蘇寧易購某分站SA許可權SQL隱碼攻擊,可shell可滲透
WooYun: 蘇寧易購某分站注謝可得到使用者聯絡方式等重要資訊
程式邏輯
比較嚴重的問題
WooYun: 蘇寧某分站存在可被入侵風險(機房內網可被滲透)
WooYun: 蘇寧易購的幾個嚴重安全漏洞合集(任意檔案讀取,任意命令執行)
WooYun: 蘇寧漏洞大禮包一份 (Shell+跨盤任意下載+內部平臺資料庫+上萬份內部檔案任意瀏覽...)
支付漏洞
蘇寧易購總結
蘇寧易購不太清楚是否有自己的安全團隊,其安全性做的一般,大小問題不少,希望再接再厲:)
0x02 總結
從烏雲的平臺上可以看到,大如淘寶的電商平臺,擁有專業的安全團隊,但是由於業務過多,依然可能存在可被獲取伺服器許可權的漏洞。
其他電商網站有的剛配上專業的安全團隊,有的可能對安全的重視程度還未達到需要配專業安全團隊的地步,但大都在努力保證其安全性。
包括淘寶等一些網際網路公司也在努力對網民做釣魚的防範意識教育,全面的保證網民在網購上的安全性。
希望各電商能與白帽子共同努力,打造一個安全的電商平臺。:)
相關文章
- 電商網站的購買按鈕網站
- 提高網站安全性的12種基本方法網站
- 電商網站的初期技術選型網站
- 電商網站之“全選功能”網站
- vue適合做電商網站麼Vue網站
- 大型網站架構系列:電商網站架構案例(1)網站架構
- 大型網站架構系列:電商網站架構案例(2)網站架構
- 大型網站架構系列:電商網站架構案例(3)網站架構
- 應用最為廣泛的電商網站網站
- 如何搭建跨境電商系統網站?網站
- 極簡風格電商網站案例網站
- 時尚電商網站視覺分析網站視覺
- 從跨境電商談“網際網路+”外貿的網站建設網站
- 隱藏Apche、Nginx、PHP的版本號提高網站安全性NginxPHP網站
- 開放了API的電商網站有哪些?最好是知名的電商,包括商城平臺API網站
- 電商購物網站 - 需求與設計網站
- 建立高安全性PHP網站的幾個實用要點PHP網站
- 怎樣開發和佈署一個安全性的網站.網站
- 梯比活動-淘寶活動效果-電商類網站網站
- Python乾貨:用Scrapy爬電商網站Python網站
- 電商網站秒殺與搶購的系統架構網站架構
- 電商直播發展正夯,搭建電商網站需要怎樣的雲伺服器配置?網站伺服器
- 電商網站軟體測試該怎麼做?網站
- Abp框架Web站點的安全性提升框架Web
- 從零開始 如何打造一個誘人的電商網站網站
- 網站伺服器:電商網站如何應對流量高峰?華納雲來告訴您網站伺服器
- 京東賬戶集中被盜拷問電商網站安全網站
- 2018年泰國十大電商網站網站
- 跨境電商網站選擇BlueHost美國主機的顯著優勢網站
- 母嬰電商網站是如何進行個性化推薦的網站
- Magecart黑客再出手,80多個電商網站遭破壞黑客網站
- 大型PHP電商網站商品秒殺功能實現思路分析PHP網站
- Marsh:日本本土電商網站Rakuten最受網購使用者歡迎網站
- 淺談電商網站安裝安信SSL證書的必要性網站
- 使用Cloudflare for Teams的網際網路安全性Cloud
- 18種快速提高外貿獨立站或跨境電商網站轉化率的方法和思維網站
- 華納雲電商網站: 提高雲安全係數該怎麼做?網站
- Millward Brown:二手車電商網站滲透率調查網站