- 1、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
- 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 4、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 5、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 6、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 7、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
电子商务网站安全测试项目 - 应用
漏洞名称
漏洞类型
漏洞危害描述
解决方案或建议
交易撤销缺陷
功能缺陷
某些机构系统没有交易撤销功能,会导致用户误操作后,在日结
建议加上交易撤销功能。
之前,无法将操作取消。
界面数据项校验缺
功能缺陷
某些机构系统对一些界面数据项没有做长度和字符的严格校验,
建议对界面数据项做严格校验。
陷
可能会导致用户输入错误。
未设置交易限额
风险监控漏洞
未设置单笔、单日的交易限额,可能支付平台被利用进行套现、
建议设置与交易限额、日交易量相关的风控规则。
洗钱等违法金融活动。
登录提示信息中可
网络设备安全漏
登录提示信息中可能泄露信息。
建议修改登录提示信息,避免信息泄露。
能泄露信息
洞
连续错误登陆多次
主流操作系统漏
当某用户账号连续三次 ( 或有限的次数 )登录失败,系统安全策略应
设置登录失败自动锁定策略。
未自动锁定帐号码
洞
锁定此账号,以防止该用户账号的密码被暴力猜解。
ActiveX
控件漏洞
主流操作系统漏洞
入侵者利用应用系统存在的 ActiveX 控件漏洞,可能造成入侵者利用 ActiveX 进行网页挂马、 读取注册表, 访问本地文件系统等。
1 、对 ActiveX 出之类的漏洞。
控件进行源代码审查与渗透测试,以避免缓冲区溢
2 、要求提交给
ActiveX
控件的所有参数使用加密签名验证,避免
未授权的域尝试调用这些控件。
本地缓存攻击 主流操作系统漏 入侵者利用应用系统存在的本地缓存攻击漏洞,可能造成入侵者 1 、通过在 HTTP 报头或 HTML 标签中添加 Cache-Control 等参
洞 绕过安全限制,获得敏感信息或破坏 WEB 缓存文件。 数阻止浏览器缓存页面。
2 、在表单标签或输入字段的标签中设置 autocomplete=off 属
性。
样例数据库没有删
主流操作系统漏
MySQL 存在样例数据库, 用于示范功能和测试服务器。 在上线系
除
洞
统中建议删除样例数据库, 这样,可以减少新弱点被利用的风险。
例如:一个新的弱点要求必须有对视图作查询的能力,则样例数
据库中的任一个视图都能被用户利用。如果删除了样例数据库,
攻击者需查询其它的视图,这将增加攻击的难度。
未设置使用 SSL
主流操作系统漏
当敏感信息在非信任网络传输时,建议使用
SSL 保护其一致性和
洞
完整性。
重复支付
应用安全漏洞
由于支付系统的设计缺陷,导致可对同一商品订单采用同一卡
/
帐户或不同的卡 / 帐户重复进行支付, 包括客户无意的或者代理操
作人员恶意的,对客户造成经济利益损害。
不安全的直接对象
应用安全漏洞
服务器上具体文件名、路径或数据库关键字等内部资源被暴露在
访问
URL 或网页中,攻击者可以此来尝试直接访问其他资源。
URL 访问限制缺 应用安全漏洞 某些 Web 应用包含一些“隐藏”的 URL,这些 URL 不显示在网
陷 页链接中, 但管理员可以直接输入 URL 访问到这些 “隐藏” 页面 .
如果我们不对这些 URL 做访问限制,攻击者仍然有机会打开它们。
从产品系统中删除两个样本数据库。
建议使用 SSL 保证传输内容安全。
对每笔订单进行控制, 在进行支付操作时, 检查该订单的支付情况,对于支付异常的情况进行回退操作; 如己支付成功, 进行支付成功提示并拒绝再次支付。
主要防范措施:
1.避免在 URL 或网页中直接引用内部文件名或数据库关键字;
2.可使用自定义的映射名称来取代直接对象名;
3.锁定网站服务器上的所有目录和文件夹,设置访问权限;
4.验证用户输入和 URL 请求,拒绝包含 ./ 或 ../ 的请求。
主要防范措施:
对于网站内的所有内容 (不论公开的还是未公开的 ),都要进行访问控制检查 ;
只允许用户访问特定的文件类型,比如 html,asp,php 等,禁止对
其他文件类型的访问。
网站存在测试垃圾
应用安全漏洞
在默认安装模式下,许多
Web 服务器和应用程序服务器都提供
删除测试页面, 并形成不在 WEB 可访问文件夹下操作的管理习惯,
页面
了样本应用程序和文件,以便开发者测试安装之后服务器是否能
以避免遭到攻击。
正常运行。垃圾页面是信息泄露类型漏洞的一种,他为攻击者提
供了少量的部分系统和后台服务信息。但由于垃圾页面一般是旧
信息或是无用信息,所以泄露出的信息并不是直接的、严重的,
然而存在垃圾页面会一定程度影响到网站形象。
网站后台暴露
应用安全漏洞
攻击者可以用暴力破解的方式来猜测管理后台的户名和密码,从
进行完善的网站管理系统配置,关闭用户远程访问的功能。
而登陆进后台来发布虚假新
网上交易无密码安
应用安全漏洞
键盘记录是目前比较有效的攻
文档评论(0)