电商网站安全之威胁
(电商网站安全(二)
https://blog.csdn.net/qq_29039705/article/details/80486880)
一、越权操作
凡是仅靠传入参数就进行数据库查询的功能即存在越权。
越权类型:
1、平行越权(订单,留言,送货地址,修改信息,修改密码...)
2、垂直越权(修改信息,修改密码,创建用户..)
3、越权查询
4、越权修改
5、直接越权
6、间接越权
7、... ...
越权操作的危害:
泄漏用户数据,非法篡改他人业务,权限提升。
无法通过WAF以及常规手段发现。
|
越权形式
|
影响
|
|
越权查看订单/保单
|
订单数据泄露,用户数据遭到非法交易。
|
|
越权查看地址
|
用户基本信息泄露,可用来非法交易。
|
|
越权查看留言
|
严重泄露用户隐私,可进行诈骗,钓鱼灯非法行为。
|
|
越权查询交易记录
|
交易信息泄露,可用来非法交易。
|
|
越权修改个人信息
|
越权篡改密码保护问题、绑定手机号等,非法进入他人账户。
|
二、金额篡改
类型
1、交易总金额
2、单价
3、商品数量
4、分期数量
5、正负对冲
6、负值反冲
危害
直接造成经济损失,
无法通过WAF发现,但可通过二次校验及人工确认的方式发现。
|
篡改形式
|
影响
|
|
篡改金额
|
直接篡改单价或总金额,低价完成交易。
|
|
篡改数量
|
篡改数量为低价或负数,可能造成负充或低价完成交易。
|
|
篡改积分
|
由于积分允许负值,极有可能造成负充。
|
|
篡改产品参数
|
可增加产品价值,如增加分期数,增加投保时间等。
|
|
多参数篡改
|
如存在多个价格参数,只要有一个可篡改,即可构造对充订单。
|
三、常见逻辑缺陷
类型
1、短息验证码前端回传
2、短信验证码可预测
3、受限商品重复购买
4、单点登录篡改
5、安全限制绕过
四、撞库
撞库示意图
五、暴力破解
|
暴力破解形式
|
防护现状及方法
|
|
固定用户名遍历密码
|
常规攻击手法,可采用用户名锁定机制,验证码机制以及控件进行防护。
|
|
固定密码遍历用户名
|
常见于采用交易号登陆的电商网站,可采用验证码机制以及控件进行防护。
|
|
用户名密码成对匹配
|
撞库采用的方法,可采用验证码机制以及控件进行防护。
|
六、内网渗透--木桶效应的终极体现
内网渗透充分体现了木桶效应的精髓:
安全不在于它做得好的方面有多好,而在于做得差的方面有多差。
常见的脆弱入口:
- 脆弱的子域名
- 开发人员的测试系统
- VPN或其它内网接入点
- 废弃的网站系统
- 对外开发的管理平台
- 含有弱口令的控制台
- 网络设备
七、内网安全缺失
- 无补丁管理
- 无终端管理
- 无上行为管理
- 无入侵检测机制
- 无安全准入机制
八、社会工程-Google Hacking
1、Google Hacking:利用搜索引擎输入特定语法、关键字查找可利用的渗透点,做种完成入侵。
敏感信息包括:
- 目标站点信息
- 存储密码的文件
- 后台管理和上传文件的Web页
- 数据库
- 特定扩展名文件
- 特定的Web程序,如论坛
2、Google Hacking防御
- 手工提交http://www.google.com/remove.html
- 控制robots.txt,控制搜索引擎的机器人查询
- 内容检查
Copyright © 2018 Ansel. All rights reserved.