電商網站安全之威脅
(電商網站安全(二)https://blog.csdn.net/qq_29039705/article/details/80486880)一、越權操作
凡是僅靠傳入參數就進行數據庫查詢的功能即存在越權。
越權類型:
1、平行越權(訂單,留言,送貨地址,修改信息,修改密碼...)
2、垂直越權(修改信息,修改密碼,創建用戶..)
3、越權查詢
4、越權修改
5、直接越權
6、間接越權
7、... ...
越權操作的危害:
泄漏用戶數據,非法篡改他人業務,權限提升。無法通過WAF以及常規手段發現。
越權形式 | 影響 |
越權查看訂單/保單 | 訂單數據泄露,用戶數據遭到非法交易。 |
越權查看地址 | 用戶基本信息泄露,可用來非法交易。 |
越權查看留言 | 嚴重泄露用戶隱私,可進行詐騙,釣魚燈非法行爲。 |
越權查詢交易記錄 | 交易信息泄露,可用來非法交易。 |
越權修改個人信息 | 越權篡改密碼保護問題、綁定手機號等,非法進入他人賬戶。 |
二、金額篡改
類型
1、交易總金額
2、單價
3、商品數量
4、分期數量
5、正負對衝
6、負值反衝
危害
直接造成經濟損失,無法通過WAF發現,但可通過二次校驗及人工確認的方式發現。
篡改形式 | 影響 |
篡改金額 | 直接篡改單價或總金額,低價完成交易。 |
篡改數量 | 篡改數量爲低價或負數,可能造成負充或低價完成交易。 |
篡改積分 | 由於積分允許負值,極有可能造成負充。 |
篡改產品參數 | 可增加產品價值,如增加分期數,增加投保時間等。 |
多參數篡改 | 如存在多個價格參數,只要有一個可篡改,即可構造對充訂單。 |
三、常見邏輯缺陷
類型
1、短息驗證碼前端回傳
2、短信驗證碼可預測
3、受限商品重複購買
4、單點登錄篡改
5、安全限制繞過
四、撞庫
撞庫示意圖
五、暴力破解
暴力破解形式 | 防護現狀及方法 |
固定用戶名遍歷密碼 | 常規攻擊手法,可採用用戶名鎖定機制,驗證碼機制以及控件進行防護。 |
固定密碼遍歷用戶名 | 常見於採用交易號登陸的電商網站,可採用驗證碼機制以及控件進行防護。 |
用戶名密碼成對匹配 | 撞庫採用的方法,可採用驗證碼機制以及控件進行防護。 |
六、內網滲透--木桶效應的終極體現
內網滲透充分體現了木桶效應的精髓:
安全不在於它做得好的方面有多好,而在於做得差的方面有多差。
常見的脆弱入口:
- 脆弱的子域名
- 開發人員的測試系統
- VPN或其它內網接入點
- 廢棄的網站系統
- 對外開發的管理平臺
- 含有弱口令的控制檯
- 網絡設備
七、內網安全缺失
- 無補丁管理
- 無終端管理
- 無上行爲管理
- 無入侵檢測機制
- 無安全准入機制
八、社會工程-Google Hacking
1、Google Hacking:利用搜索引擎輸入特定語法、關鍵字查找可利用的滲透點,做種完成入侵。
敏感信息包括:
- 目標站點信息
- 存儲密碼的文件
- 後臺管理和上傳文件的Web頁
- 數據庫
- 特定擴展名文件
- 特定的Web程序,如論壇
2、Google Hacking防禦
- 手工提交http://www.google.com/remove.html
- 控制robots.txt,控制搜索引擎的機器人查詢
- 內容檢查
Copyright © 2018 Ansel. All rights reserved.