电商网站安全之威胁 (电商网站安全(二) https://blog.csdn/qq_29039705/article/details/80486880)admin管理员组文章数量:1615372
一、越权操作
凡是仅靠传入参数就进行数据库查询的功能即存在越权。 越权类型: 1、平行越权(订单,留言,送货地址,修改信息,修改密码...) 2、垂直越权(修改信息,修改密码,创建用户..) 3、越权查询 4、越权修改 5、直接越权 6、间接越权 7、... ... 越权操作的危害: 泄漏用户数据,非法篡改他人业务,权限提升。 无法通过WAF以及常规手段发现。越权形式 | 影响 |
越权查看订单/保单 | 订单数据泄露,用户数据遭到非法交易。 |
越权查看地址 | 用户基本信息泄露,可用来非法交易。 |
越权查看留言 | 严重泄露用户隐私,可进行诈骗,钓鱼灯非法行为。 |
越权查询交易记录 | 交易信息泄露,可用来非法交易。 |
越权修改个人信息 | 越权篡改密码保护问题、绑定手机号等,非法进入他人账户。 |
篡改形式 | 影响 |
篡改金额 | 直接篡改单价或总金额,低价完成交易。 |
篡改数量 | 篡改数量为低价或负数,可能造成负充或低价完成交易。 |
篡改积分 | 由于积分允许负值,极有可能造成负充。 |
篡改产品参数 | 可增加产品价值,如增加分期数,增加投保时间等。 |
多参数篡改 | 如存在多个价格参数,只要有一个可篡改,即可构造对充订单。 |
暴力破解形式 | 防护现状及方法 |
固定用户名遍历密码 | 常规攻击手法,可采用用户名锁定机制,验证码机制以及控件进行防护。 |
固定密码遍历用户名 | 常见于采用交易号登陆的电商网站,可采用验证码机制以及控件进行防护。 |
用户名密码成对匹配 | 撞库采用的方法,可采用验证码机制以及控件进行防护。 |
- 脆弱的子域名
- 开发人员的测试系统
- VPN或其它内网接入点
- 废弃的网站系统
- 对外开发的管理平台
- 含有弱口令的控制台
- 网络设备
- 无补丁管理
- 无终端管理
- 无上行为管理
- 无入侵检测机制
- 无安全准入机制
- 目标站点信息
- 存储密码的文件
- 后台管理和上传文件的Web页
- 数据库
- 特定扩展名文件
- 特定的Web程序,如论坛
- 手工提交http://www.google/remove.html
- 控制robots.txt,控制搜索引擎的机器人查询
- 内容检查
Copyright © 2018 Ansel. All rights reserved.
本文标签: 商网
版权声明:本文标题:电商网站安全(一) 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://m.elefans.com/dianzi/1728694375a1169926.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论