在电商网站开发中有哪些常见漏洞
一、常见PHP网站安全漏洞
对于PHP的漏洞,目前常见的漏洞有五种。分别是Session文件漏洞、SQL注入漏洞、脚本命令执行漏洞、全局变量漏洞和文件漏洞。这里分别对这些漏洞进行简要的介绍。
1、session文件漏洞
Session攻击是黑客最常用到的攻击手段之一。当一个用户访问某一个网站时,为了免客户每进人一个页面都要输人账号和密码,PHP设置了Session和Cookie用于方便用户的使用和访向。
2、SQL注入漏洞
在进行网站开发的时候,程序员由于对用户输人数据缺乏全面判断或者过滤不严导致服务器执行一些恶意信息,比如用户信息查询等。黑客可以根据恶意程序返回的结果获取相应的信息。这就是月行胃的SQL注入漏洞。
3、脚本执行漏洞
脚本执行漏洞常见的原因是由于程序员在开发网站时对用户提交的URL参数过滤较少引起的,用户提交的URL可能包含恶意代码导致跨站脚本攻击。脚本执行漏洞在以前的PHP网站中经常存在,但是随着PHP版本的升级,这些间题已经减少或者不存在了。
4、全局变量漏洞
PHP中的变量在使用的时候不像其他开发语言那样需要事先声明,PHP中的变量可以不经声明就直接使用,使用的时候系统自动创建,而且也不需要对变 量类型进行说明,系统会自动根据上下文环境自动确定变量类型。这种方式可以大大减少程序员编程中出错的概率,使用起来非常的方便。
5、文件漏洞
文件漏洞通常是由于网站开发者在进行网站设计时对外部提供的数据缺乏充分的过滤导致黑客利用其中的漏洞在Web进程上执行相应的命令。
二、PHP常见漏洞的防范措施
1、对于Session漏洞的防范
从前面的分析可以知道,Session攻击最常见的就是会话劫持,也就是黑客通过各种攻击手段获取用户的Session ID,然后利用被攻击用户的身份来登录相应网站。为此,这里可以用以下几种方法进行防范:一是定期更换Session ID,更换Session ID可以用PHP自带函数来实现;二是更换Session名称,通常情况下Session的默认名称是PHPSESSID,这个变量一般是在cookie中保存的,如果更改了它的名称,就可以阻档黑客的部分攻击;三是对透明化的Session ID进行关闭处理,所谓透明化也就是指在http请求没有使用cookies来制定Session id时,Sessioin id使用链接来传递.关闭透明化Session ID可以通过操作PHP.ini文件来实现;四是通过URL传递隐藏参数,这样可以确保即使黑客获取了session数据,但是由于相关参数是隐藏的,它也很难获得Session ID变量值。
2、对SQL注入漏洞的防范
黑客进行SQL注入手段很多,而且灵活多变,但是SQL注人的共同点就是利用输入过滤漏洞。因此,要想从根本上防止SQL注入,根本解决措施就是加强对请求命令尤其是查询请求命令的过滤。具体来说,包括以下几点:一是把过滤性语句进行参数化处理,也就是通过参数化语句实现用户信息的输入而不是直接把用户输入嵌入到语句中。二是在网站开发的时候尽可能少用解释性程序,黑客经常通过这种手段来执行非法命令;三是在网站开发时尽可能避免网站出现bug,否则黑客可能利用这些信息来攻击网站;仅仅通过防御SQL注入还是不够的,另外还要经常使用专业的漏洞扫描工具对网站进行漏洞扫描。
3、对脚本执行漏洞的防范
黑客利用脚本执行漏洞进行攻击的手段是多种多样的,而且是灵活多变的,对此,必须要采用多种防范方法综合的手段,才能有效防止黑客对脚本执行漏洞进行攻击。这里常用的方法方法有以下四种。一是对可执行文件的路径进行预先设定。
4、对全局变量漏洞防范
对于PHP全局变量的漏洞问题,以前的PHP版本存在这样的问题,但是随着PHP版本升级到5.5以后,可以通过对php.ini的设置来实现,设置ruquest_order为GPC。另外在php.ini配置文件中,可以通过对Magic_quotes_runtime进行布尔值设置是否对外部引人的数据中的溢出字符加反斜线。为了确保网站程序在服务器的任何设置状态下都能运行。
5、对文件漏洞的防范
对于PHP文件漏桐可以通过对服务器进行设置和配置来达到防范目的。这里具体的操作如下:一是把PHP代码中的错误提示关闭,这样可以避免黑客通过错误提示获取数据库信息和网页文件物理路径;二是对open_basedir尽心设置,也就是对目录外的文件操作进行禁止处理;这样可以对本地文件或者远程文件起到保护作用,防止它们被攻击,这里还要注意防范Session文件和上载文件的攻击;三是把safe-made设置为开启状态,从而对将要执行的命令进行规范,通过禁止文件上传,可以有效的提高PHP网站的安全系数。
盘点一下,有哪些著名的黑客入侵案?
2015年,多家知名连锁酒店、高端品牌酒店存在严重安全漏洞,海量开房信息存泄露风险。多家P2P平台同时遭不法黑客攻击。内蒙古19万考生信息泄露。2016年,OpenSSL水牢漏洞 多家公司受影响。济南20万儿童信息被打包出售,信息精确到家庭门牌号。2017年,事件一 台湾外事部门遭不法黑客攻击,1.5万笔个人资料外泄。事件二 10月,Reaper僵尸网络病毒每天可感染1万台物联网设备。以上都是最近比较出名的黑客事件。
黑客日常的生活也没什么特别的,别人工作的时候他在破防火墙,别人休息的时候他还在破。其实黑客也是很累的,如果是不受雇佣的黑客,他们每天做的事情完全就是出于兴趣,绝大多数黑客也不敢黑银行或者金融机构,或者说他们压根没能力黑进去。所以黑客们的生活很平淡,吃吃睡睡,可能不怎么出门,但是他们出门也绝对不会让你看出他们是黑客。我们在这里就不讨论那些收到国家安全部门雇佣的职业黑客以及利用黑客技术进行犯罪的黑客团伙了,他们做的事情我们一般人接触不到,也很难了解他们每天在干嘛。我们就看看那些凭着爱好兴趣来维持生活的黑客们吧。我认识一位自称黑客的朋友,当然我不知道真假,跟他在一个地方上过班,但是不久他就辞职了。
只要不做什么违法犯罪的事情,黑客实在没有什么特殊的,就像我们下课下班就去玩会游戏或者打打球,黑客们就回去倒弄电脑去了,他们平时也不会不吃饭不睡觉,正常人一样,可能会因为睡眠不足有黑眼圈,除此之位,没有不同。
双十一来了,如何防止电商诈骗?
“双十一”临近,各大网络购物平台发起“促销”的力度日增,不少市民群众也准备投入到网购的热潮当中。随着各类电商平台的崛起,网购成为当下人们重要的消费途径之一。然而众多不法分子也伺机将黑手伸向了电商领域,他们不断翻新作案手段,导致近年来电商诈骗案件持续高发,严重危害到百姓的财产安全。其实,很多诈骗案件之所以成功,1/3靠各种技术,2/3通过心理手段让人上当受骗。作为普通群众,一定要提高安全意识,保护好自己的财产安全。
数据泄露“催生”精准诈骗
案例1:杨女士在某电商平台上购买了几件冬装,成功付款后接到陌生来电,对方自称是电商的客服人员,并清楚地报出了快递单号、收货地址等信息,随后以系统异常,需先退单再重新购买,并从提供银行卡号、身份证号码等个人信息为由,骗取杨女士3万余元。
案例2:张女士在网上拍下宝贝之后,突然收到一个请求代付的链接,要求其在该链接中付款,声称在此付款有一定的优惠,并且确保正品。张女士看着这链接和官网的相似,便按照指示操作付款。张女士因此被骗,损失数万元。
类似的案例不胜枚举,不法分子精心策划着各种骗局,不少消费者因此“中招”。不同于过去的“盲呼盲打”,现在通过买卖个人信息,犯罪分子能针对性投放信息,进行精准诈骗。《中国网民权益保护调查报告(2016)》显示,84%的网民个人身份信息被泄露过;63.4%的网民个人网上活动信息被泄露过。2015年下半年到2016年上半年,我国网民因个人信息泄露、垃圾信息、诈骗信息等现象导致的总体损失约915亿元。
诈骗手法多样普通人难甄别
如今网络上的数据贩子随处可见,“黑客”和不法分子盗取个人信息,再贩卖牟利,已形成一个巨大产业链。尽管我国网络犯罪打击力度在逐年增强,但仍跟不上大数据黑产的快速发展。而很多在线电商平台、婚恋平台、金融业务平台安全防护措施做得并不到位,给了“黑客”和不法分子大量窃取用户关键信息的可乘之机。
不法分子通过伪基站发送钓鱼短信、免费WIFI窃取个人信息、改装POS机提取银行卡信息等手段,就可以轻易盗取用户银行卡信息,由此造成“卡在身上,钱却莫名其妙地被转走”的事件。此外,不法分子通过破解用户邮箱等多种非法渠道盗取用户账户信息,用同样的密码尝试在不同电商平台进行“撞库”,窃取用户订单信息。或者通过在官网植入钓鱼链接更改订单状态,使其产生问题订单,诱骗消费者进行退款操作。
提高信息安全意识是关键
面对诈骗案件,各个电商平台也都在寻求方法努力应对,利用各种途径提升安全防护等级。然而,安全是矛和盾的关系,互联网上没有绝对的安全。电商诈骗陷阱越来越多样,难以辨别。
安全技术只是辅助,作为普通老百姓,自我安全意识的提高才是最有效的防范手段。例如,不要将大额的银行借记卡、信用卡绑定在第三方支付平台上;开启杀毒或防火墙等防护类软件,减少被钓鱼的情况;切勿轻易点开陌生人发来的链接,聊天工具中带有问号的链接不要打开,也不要复制到浏览器中打开;对于网络上的各类折扣信息要谨慎判断,不轻易转账、汇款;收到可疑信息后,一定要通过官方平台确认信息是否属实等。
当前很多人对于安全防范意识的缺乏,一个关键原因就是宣传不到位。一直以来,我希望以一个安全布道者的身份,通过安全科普讲座,使更多的人了解到安全现状及常识。而作为大众传播媒介,媒体更应该发挥起信息安全知识普及的作用。比如加大在电视、广播、报刊、杂志和网络新媒体的信息安全公益广告的投放力度,在全社会形成“信息安全,人人有责”的强烈共识;针对新的诈骗手段不断出现的情况,通过编播新闻、制作防诈骗小品、情景剧、动画等形式多公开典型案例,并定期更新案例,让老百姓了解剧本式诈骗等的具体套路和手法,谨防被骗。
编辑:纪阿黎
(专家:谈剑峰,上海市信息安全行业协会会长,知名网络安全专家,科普中国微平台原创首发)
电子商务网站面临的主要安全问题有哪些
1.电子商务面临的网络系统安全问题
电子商务系统是依赖网络实现的商务系统,需要利用Internet基础设施和标准,所以构成电子商务安全框架的底层是网络服务层,它提供信息传送的载体和用户接入的手段,是各种电子商务应用系统的基础,为电子商务系统提供了基本、灵活的网络服务。
电子商务网络系统安全问题包括以下几个方面:
(1)网络部件的不安全因素。
(2)软件不安全因素。
(3)工作人员的不安全因素。
(4)自然环境因素。
2.电子商务面临的电子支付系统安全问题
众所周知,基于Internet平台的电子商务支付系统由于涉及到客户、商家、银行及认证部门等多方机构,以及它们之间可能的资金划拨,所以客户和商家在进行网上交易时必须充分考虑其系统的安全。
目前网上支付中面临的主要安全问题有以下几方面:
(1)支付账号和密码等隐私支付信息在网络传送过程中被窃取或盗用。
(2)支付金额被更改。
(3)不能有效验证收款人的身份。
3.电子商务面临的认证系统安全问题
1.信息泄漏
在电子商务中表现为商业机密的泄漏,主要包括两个方面:交易双方进行交易的内容被第
三方窃取;交易一方提供给另一方使用的文件被第三方非法使用。如的账号和用户名被人获悉,就可能被盗用。
2.篡改
在电子商务中表现为商业信息的真实性和完整性的问题。电子的交易信息在网络上传输的过程中,可能被他人非法修改、删除或重改,这样就使信息失去了真实性和完整性。假如两公司签订了一份由一公司向另一公司供应原料的合同,若赶上原料价格上涨,供货方公司篡改价格将使自己大幅受益,而采购公司将蒙受损失。
3.身份识别
在网络交易中如果不进行身份识别,第三方就有可能假冒交易一方的身份,以破坏交易、破坏被假冒一方的信誉或盗取被假冒一方的交易成果等,进行身份识别后,交易双方就可防止相互猜疑的情况。
4.蓄意否认事实
由于商情的千变万化,商务合同一旦签订就不能被否认,否则必然会损害一方的利益。因此,电子商务就提出了相应的安全控制要求。
(1)电子商务中面临的法律安全问题。随着国际信息化、网络化进化的不断发展,在电子商务领域利用计算机网络进行犯罪的案件与日俱增,其犯罪的花样和手段不断翻新。
(2)电子合同中的法律问题。电子商务合同的订立是在不同地点的计算机系统之间完成的。许多国家的法律要求必须有书面形式的交易单证作为证明交易有效和作为交易的证据;否则,这种合同属于无效合同。关于电子合同能否视为书面合同,并取得与书面文件同等的效力,是各国法律尚未解决的问题,与传统书面文件相比,电子文件有一定的不稳定性,一些来自外界的对计算机网络的干扰,都可能造成信息的丢失、损坏、更改。
(3)银行电子化服务的法律问题。银行是电子支付和结算的最终执行者,起着联结买卖双方的纽带作用,但对一些从事电子货币业务的银行来说,犯罪分子伪造电子货币,给银行带来了直接经济损失。
(4)电子资金转账的法律问题。电子资金转账的法律是个特殊问题,但是我国现行的《票据法》并不承认经过数字签名认证的非纸质的电子票据支付和结算方式。并且支付不可撤消,付款人或第三人不能要求撤消已经完成的电子资金转账。
(5)电子商务中的知识产权保护问题。电子商务活动中交易的客体及交易的行为经常涉及传统的知识产权领域。
(6)电子商务中的消费者权益保护问题。电子商务等新的交易方式给消费者权益保护带来各种新的维权问题。随着科技进步,新产品的大量出现,消费知识滞后的矛盾也更加突出。
0条大神的评论