电子商务网站安全测试项目应用.docxVIP

  1. 1、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
  2. 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  3. 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
  4. 4、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
  5. 5、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
  6. 6、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
  7. 7、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
电子商务网站安全测试项目 - 应用 漏洞名称 漏洞类型 漏洞危害描述 解决方案或建议 交易撤销缺陷 功能缺陷 某些机构系统没有交易撤销功能,会导致用户误操作后,在日结 建议加上交易撤销功能。 之前,无法将操作取消。 界面数据项校验缺 功能缺陷 某些机构系统对一些界面数据项没有做长度和字符的严格校验, 建议对界面数据项做严格校验。 陷 可能会导致用户输入错误。 未设置交易限额 风险监控漏洞 未设置单笔、单日的交易限额,可能支付平台被利用进行套现、 建议设置与交易限额、日交易量相关的风控规则。 洗钱等违法金融活动。 登录提示信息中可 网络设备安全漏 登录提示信息中可能泄露信息。 建议修改登录提示信息,避免信息泄露。 能泄露信息 洞 连续错误登陆多次 主流操作系统漏 当某用户账号连续三次 ( 或有限的次数 )登录失败,系统安全策略应 设置登录失败自动锁定策略。 未自动锁定帐号码 洞 锁定此账号,以防止该用户账号的密码被暴力猜解。 ActiveX  控件漏洞  主流操作系统漏洞  入侵者利用应用系统存在的 ActiveX 控件漏洞,可能造成入侵者利用 ActiveX 进行网页挂马、 读取注册表, 访问本地文件系统等。  1 、对 ActiveX 出之类的漏洞。  控件进行源代码审查与渗透测试,以避免缓冲区溢 2 、要求提交给  ActiveX  控件的所有参数使用加密签名验证,避免 未授权的域尝试调用这些控件。 本地缓存攻击 主流操作系统漏 入侵者利用应用系统存在的本地缓存攻击漏洞,可能造成入侵者 1 、通过在 HTTP 报头或 HTML 标签中添加 Cache-Control 等参 洞 绕过安全限制,获得敏感信息或破坏 WEB 缓存文件。 数阻止浏览器缓存页面。 2 、在表单标签或输入字段的标签中设置 autocomplete=off 属 性。 样例数据库没有删 主流操作系统漏 MySQL 存在样例数据库, 用于示范功能和测试服务器。 在上线系 除 洞 统中建议删除样例数据库, 这样,可以减少新弱点被利用的风险。 例如:一个新的弱点要求必须有对视图作查询的能力,则样例数 据库中的任一个视图都能被用户利用。如果删除了样例数据库, 攻击者需查询其它的视图,这将增加攻击的难度。 未设置使用 SSL 主流操作系统漏 当敏感信息在非信任网络传输时,建议使用 SSL 保护其一致性和 洞 完整性。 重复支付 应用安全漏洞 由于支付系统的设计缺陷,导致可对同一商品订单采用同一卡 / 帐户或不同的卡 / 帐户重复进行支付, 包括客户无意的或者代理操 作人员恶意的,对客户造成经济利益损害。 不安全的直接对象 应用安全漏洞 服务器上具体文件名、路径或数据库关键字等内部资源被暴露在 访问 URL 或网页中,攻击者可以此来尝试直接访问其他资源。 URL 访问限制缺 应用安全漏洞 某些 Web 应用包含一些“隐藏”的 URL,这些 URL 不显示在网 陷 页链接中, 但管理员可以直接输入 URL 访问到这些 “隐藏” 页面 . 如果我们不对这些 URL 做访问限制,攻击者仍然有机会打开它们。  从产品系统中删除两个样本数据库。 建议使用 SSL 保证传输内容安全。 对每笔订单进行控制, 在进行支付操作时, 检查该订单的支付情况,对于支付异常的情况进行回退操作; 如己支付成功, 进行支付成功提示并拒绝再次支付。 主要防范措施: 1.避免在 URL 或网页中直接引用内部文件名或数据库关键字; 2.可使用自定义的映射名称来取代直接对象名; 3.锁定网站服务器上的所有目录和文件夹,设置访问权限; 4.验证用户输入和 URL 请求,拒绝包含 ./ 或 ../ 的请求。 主要防范措施: 对于网站内的所有内容 (不论公开的还是未公开的 ),都要进行访问控制检查 ; 只允许用户访问特定的文件类型,比如 html,asp,php 等,禁止对 其他文件类型的访问。 网站存在测试垃圾 应用安全漏洞 在默认安装模式下,许多 Web 服务器和应用程序服务器都提供 删除测试页面, 并形成不在 WEB 可访问文件夹下操作的管理习惯, 页面 了样本应用程序和文件,以便开发者测试安装之后服务器是否能 以避免遭到攻击。 正常运行。垃圾页面是信息泄露类型漏洞的一种,他为攻击者提 供了少量的部分系统和后台服务信息。但由于垃圾页面一般是旧 信息或是无用信息,所以泄露出的信息并不是直接的、严重的, 然而存在垃圾页面会一定程度影响到网站形象。 网站后台暴露 应用安全漏洞 攻击者可以用暴力破解的方式来猜测管理后台的户名和密码,从 进行完善的网站管理系统配置,关闭用户远程访问的功能。 而登陆进后台来发布虚假新 网上交易无密码安 应用安全漏洞 键盘记录是目前比较有效的攻

文档评论(0)

138****5510 + 关注
实名认证
文档贡献者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档