这是一个创建于 3787 天前的主题,其中的信息可能已经有所发展或是发生改变。
想测试 PHP 电商系统是否安全,想求大神指教有哪些模块(比如上传、执行 sql )容易被攻击。攻击方式,最好还有参考的解决方案!
出来吧! PHP 兽
 |
1
lufyluo OP 自己先来顶一下
|
 |
2
bball 2015 年 8 月 31 日
搜索: SQL 注入
|
 |
3
or2me 2015 年 8 月 31 日
常规的 SQL 注入,任意上传, XSS 等等就不说了
电商比较容易出现的是平行越权,就是订单遍历,用户资料遍历之类的 |
 |
4
logfile 2015 年 8 月 31 日
1 、 armitage
2 、 kali linux &&metasploit |
 |
5
tabris17 2015 年 8 月 31 日
sql 、 xss 、 csrf 等这些常规漏洞 ls 都说了
还有电商平台需要注意的是,订单和用户增量的保密,不要在前端和 url 里暴露用户和订单记录的自增 ID 如果有库存功能,注意库存访问会不会有数据一致性的问题 |
 |
6
letitbesqzr 2015 年 8 月 31 日  2
有一点想说的,千万别拿自增 id 当订单 id ... 别人一看就了解你网站到底有多少订单,分析下就知道你网站每天多少订单了。
|
 |
7
ivmm 2015 年 8 月 31 日
各种流氓检测用一下
|
|
8
lufyluo OP @bball 感谢, sql 注入我已经注意了,但是我不知道有没有高深手段能瞒过 我的处理机制,目前我处理是有个全局安全检测, sql 语句的 and 和 or 等关键字不能从前台传入,只能我后台拼接。还有其他可以绕过我这个处理机制的吗?
|
|
11
lufyluo OP @letitbesqzr 嗯, 3Q ,这个我们已经规避
|
 |
16
honkew 2015 年 8 月 31 日
怎么不用 pdo
|
 |
17
xifangczy 2015 年 8 月 31 日
多去 wooyun 逛逛 搜 ecshop 之类看看有没有犯同样的错误。
|
 |
20
slowgen 2015 年 8 月 31 日
逻辑上的:
负数金额购买 充值回调时并发,可能导致充一次钱,实际上给账户加了几次 |
 |
21
wapy 2015 年 8 月 31 日
sql , xss 上传
平行权限 垂直权限 订单遍历等信息泄露 金额校验,运费是否能为负 |
 |
22
ByZHkc3 2015 年 8 月 31 日 via Android
建议去乌云知识库看看
|
 |
23
Felldeadbird 2015 年 8 月 31 日
@lufyluo sql 语句的 and 和 or 等关键字不能从前台传入 不要在用这种 老旧的过滤规则了。把系统数据库链接换 mysqli 或者 PDO 吧。 预处理彻底阻止注入的漏洞。 这种规则 你会发现 很多 敏感关键词的。
楼上好像没人说到图片木马方面的。 |
 |
24
ys0290 2015 年 9 月 1 日 via iPhone
@letitbesqzr 请问有什么办法可以不拿自增 id 做订单 id ?
|
|
25
letitbesqzr 2015 年 9 月 1 日 1
@ys0290 uuid
|
|
27
lufyluo OP @Felldeadbird 非常感谢
|
 |
28
niliu 2015 年 9 月 1 日
|
|
30
niliu 2015 年 9 月 1 日
@lufyluo 我只能说一个扫描器能发现的问题太有限了,更何况 xxx 你懂得。看你们对安全还是挺重视,如果想全面的检查一下网站业务安全问题,我还是强烈建议去乌云众测,我大概描述一下吧:参与众测项目的都是乌云平台的顶尖白帽子,大概 20-30 人不等,全部手工测试,不用担心扫描器影响业务而且漏洞质量很高,数量很多。而且乌云的白帽子非常有节操。。 PS:这并不是广告,这是一个乌云白帽子的心声! 对了,你还可以去了解一下唐朝安全巡检 www.tangscan.com ,由乌云社区众多安全研究人员维护的企业在线安全平台。
|
 |
34
jiehuangwei 2015 年 9 月 6 日
有很多类似的工具,扫扫更健康
|
 |
35
chord 2015 年 9 月 28 日
电商最重要就是
事务 事务 事务 重要的事情说三遍 |
Select Language