电子商务网站安全测试项目-应用

电子商务网站安全测试项目-应用 漏洞名称漏洞类型漏洞危害描述解决方案或建议 交易撤销缺陷功能缺陷某些机构系统没有交易撤销功能，会导致用户误操作后，在日结 之前，无法将操作取消。 建议加上交易撤销功能。 界面数据项校验缺 陷 功能缺陷某些机构系统对一些界面数据项没有做长度和字符的严格校验， 可能会导致用户输入错误。 建议对界面数据项做严格校验。 未设置交易限额风险监控漏洞未设置单笔、单日的交易限额，可能支付平台被利用进行套现、 洗钱等违法金融活动。 建议设置与交易限额、日交易量相关的风控规则。 登录提示信息中可 能泄露信息 网络设备安全漏 洞 登录提示信息中可能泄露信息。建议修改登录提示信息，避免信息泄露。 连续错误登陆多次 未自动锁定帐号码 主流操作系统漏 洞 当某用户账号连续三次(或有限的次数)登录失败，系统安全策略 应锁定此账号，以防止该用户账号的密码被暴力猜解。 设置登录失败自动锁定策略。 ActiveX 控件漏 洞 主流操作系统漏 洞 入侵者利用应用系统存在的 ActiveX 控件漏洞，可能造成入侵者 利用 ActiveX 进行网页挂马、读取注册表，访问本地文件系统等。 1、对 ActiveX 控件进行源代码审查与渗透测试，以避免缓冲区溢 出之类的漏洞。 2、要求提交给 ActiveX 控件的所有参数使用加密签名验证，避免 未授权的域尝试调用这些控件。 本地缓存攻击主流操作系统漏 洞 入侵者利用应用系统存在的本地缓存攻击漏洞，可能造成入侵者 绕过安全限制，获得敏感信息或破坏 WEB 缓存文件。 1、通过在 HTTP 报头或 HTML 标签中添加 Cache-Control 等参 数阻止浏览器缓存页面。 2、在表单标签或输入字段的标签中设置 autocomplete=“off“属 性。 样例数据库没有删 除 主流操作系统漏 洞 MySQL 存在样例数据库，用于示范功能和测试服务器。在上线 系统中建议删除样例数据库，这样，可以减少新弱点被利用的风 险。例如：一个新的弱点要求必须有对视图作查询的能力，则样 例数据库中的任一个视图都能被用户利用。如果删除了样例数据 库，攻击者需查询其它的视图，这将增加攻击的难度。 从产品系统中删除两个样本数据库。 未设置使用 SSL主流操作系统漏 洞 当敏感信息在非信任网络传输时，建议使用 SSL 保护其一致性和 完整性。 建议使用 SSL 保证传输内容安全。 重复支付应用安全漏洞由于支付系统的设计缺陷，导致可对同一商品订单采用同一卡/ 帐户或不同的卡/帐户重复进行支付，包括客户无意的或者代理 操作人员恶意的，对客户造成经济利益损害。 对每笔订单进行控制，在进行支付操作时，检查该订单的支付情 况，对于支付异常的情况进行回退操作；如己支付成功，进行支 付成功提示并拒绝再次支付。 不安全的直接对象 访问 应用安全漏洞服务器上具体文件名、路径或数据库关键字等内部资源被暴露在 URL 或网页中，攻击者可以此来尝试直接访问其他资源。 主要防范措施： 1.避免在 URL 或网页中直接引用内部文件名或数据库关键字； 2.可使用自定义的映射名称来取代直接对象名； 3.锁定网站服务器上的所有目录和文件夹，设置访问权限； 4.验证用户输入和 URL 请求，拒绝包含./或/的请求。 URL 访问限制缺 陷 应用安全漏洞某些 Web 应用包含一些“隐藏”的 URL，这些 URL 不显示在 网页链接中，但管理员可以直接输入 URL 访问到这些“隐藏” 页面.如果我们不对这些 URL 做访问限制，攻击者仍然有机会打 开它们。 主要防范措施： 对于网站内的所有内容(不论公开的还是未公开的)，都要进行访问 控制检查; 只允许用户访问特定的文件类型，比如 html,asp,php 等，禁止对 其他文件类型的访问。 网站存在测试垃圾 页面 应用安全漏洞在默认安装模式下，许多 Web 服务器和应用程序服务器都提供 了样本应用程序和文件，以便开发者测试安装之后服务器是否能 正常运行。垃圾页面是信息泄露类型漏洞的一种，他为攻击者提 供了少量的部分系统和后台服务信息。但由于垃圾页面一般是旧 信息或是无用信息，所以泄露出的信息并不是直接的、严重的， 然而存在垃圾页面会一定程度影响到网站形象。 删除测试页面，并形成不在 WEB 可访问文件夹下操作的管理习惯， 以避免遭到攻击。 网站后台暴露应用安全漏洞攻击者可以用暴力破解的方式来猜测管理后台的户名和密码，从 而登陆进后台来发布虚假新 进行完善的网站管理系统配置，关闭用户远程访问的功能。 网上交易无密码安 全控件，可窃取用 户账号和密码信息 应用安全漏洞键盘记录是目前比较有效的攻击手段，但攻击者并不把目标指向 安全防御相对较高的服务提供方，而是针对安全意识较淡薄的接 受服务人群，通过植入一个进程，监控内存中的输入缓冲区活动， 以获取密码。此类攻击会严重影响客户的交易安全，同样会损伤 服务商的声誉。 网上交易页面中的密码安全控件在使用键盘输入密码时失效，说 明目前采用的安全控件不能完全有效防止木马截取键盘信息，建 议尽快增加密码安全控件，以保障用户在输入账号和密码时的安 全性。 SQL 注入攻击应用安全漏洞入侵者利用应用系统存在的 SQL 注入漏洞，可能造成： 1.入侵者绕过系统管理后台登录，以管理员身份查看网站信息、 发布虚假信息。 2.SQL 注入报错信息导致数据库中的数据库名称、数据表名称、 数据字段名称、数据字段内容、业务数据等遭到泄露。 3.执行数据库MySQL, MS SQL, Oracle 等)系统命令，导致批量 纂改文件，批量追加恶意链接，进行跨站脚本攻击等。 4.通过 WebShell 对网站所在服务器进一步渗透，如果提升权限 成功，将通过反连等技术完全控制整个服务器。 1、建议检查应用程序代码，对用户输入、URI,参数和 Cookie 参 数等进行过滤，过滤或替换危险 SQL 字符，或完全使用参数化查 询(ParameterizedQuery)来设计数据访问功能，并关闭系统详细 报错信息。过滤或转化的字符包括但不限于：12”3，4 5)6;7* 2.整型的参数，直接用函数强制转化：如 PHP 的 intval ($id);字 符型的参数，过滤或转化 union|select|update|delete|insert|and|user|load_ file|outfile 等关键字; 3、针对 GET, POST,Cookie 中的参数均进行过滤; 4、使用 SQL 防注入系统或者应用层的防火墙。 路径篡改漏洞应用安全漏洞1、攻击者能够指定某一 file system 操作中所使用的路径。2、 攻击者可以通过指定特定资源来获取某种权限，而这种权限在一 般情况下是不可能获得的。 方法一：创建白名单，允许其中出现在资源名称中，且只接受完 全由这些认可的字符所组成的输入 方法二：采用黑名单的方法。在输入之前，黑名单有选择地拒绝 或避免潜在的危险字符 Java 脚本劫持(脆 弱的框架)漏洞 （跨域攻击） 应用安全漏洞应用程序易受到 JavaScript 劫持，使未经授权的攻击者能够读 取敏感信息 方法一：拒绝恶意请求：在每个返回给 JavaScript 的请求中使用 一些令人难以猜测的标识符，如会话标识符： 方法二;避免直接执行 JavaScrip、响应：包括某些响应中的字符， 这些响应只有经过了修改，才能成功地转到 JavaScribt 解释器讲 行处理。 跨站脚本攻击应用安全漏洞跨站脚本攻击(也称为 XSS）指利用网站漏洞从用户那里恶意盗 取信息。用户在浏览网站、使用即时通讯软件、甚至在阅读电子 邮件时，通常会点击其中的链接。攻击者通过在链接中插入恶意 代码，就能够盗取用户信息。攻击者通常会用十六进制(或其他 编码方式)将链接编码，以免用户怀疑它的合法性。网站在接收 到包含恶意代码的请求之后会产成一个包含恶意代码的页面，而 这个页面看起来就像是那个网站应当生成的合法页面一样。 1、过滤客户端提交的危险字符，客户端提交方式包含 GET. POST, COOKIE, User-Agent, Referer,Accept-Language 等， 其中危险字符如下：1|、2、4 $, 5%、6 、7、8“、11、12()、13+、14 CR、15 LF, 16，、17， 2、开发语言的建议： 1检查入局请求，以了解所有预期的参数和值是否存在。当参数 缺失时，发出适当的错误消息，或使用缺省值。 2应用程序应验证其输入是否由有效字符组成 (解码后)。例如， 应拒绝包含空字节(编码为%00 )、单引号、引号等的输入值。 3确保值符合预期范围和类型。如果应用程序预期特定参数具 有特定集合中的值，那么该应用程序应确保其接收的值确实属于 该集合。例如，如果应用程序预期值在 10. . 99 范围内，那么就 该确保该值确实是数字，且在 10. . 99 范围内。 4验证数据属于提供给客户端的集合。 5请勿在生产环境中输出调试错误消息和异常。 密码框未采用安全 控件 应用安全漏洞部分网上交易系统的支付密码输入框未采用安全控件进行保护， 攻击者可以轻易的窃取密码信息 1、建议采用通过认证的密码框安全控件。 网站管理后台地址应用安全漏洞站点信息的更新通常通过后台管理来实现的，web 应用程序开 发者或者站点维护者可能使用常用的后台地址名称来管理，比如 admin,manager 等。攻击者可能通过使用上述常用的地址尝试 访问目标站点，获取站点的后台管理地址：攻击者可能对后台管 理页面进行口令猜测：如果后台管理系统存在其他弱点，被攻击 者利用，可能导致攻击者获取管理员权限甚至服务 1、使用非常规的后台管理地址名称。 2、对访问网站后台地址的 IP 进行限定或仅限内网用户访问。 3、网站前端程序和后合管理程序分离，比如为后台管理地址设置 一个二级域名。 上传程序漏洞应用安全漏洞应用系统提供的上传程序未对文件的大小、类到进行校验，攻击 者可以上传 asp. jsp. exe 等脚本文件，从而获得 webshell。 对上传程序的大小、类型等进行校验，只允许用户上传固定类型 的文件。 恶意提交页面应用安全漏洞应用系统的部分用户交互模块无验证码、提交次数限定等机制， 攻击者可能利用该页面进行恶意提交，产生大量垃圾数据，造成 服务器性能下降。 用户交互模块增加验证码、提交次数限定等恶意提交防范机制。 暴力破解应用安全漏洞入侵者利用应用系统存在的暴力破解漏洞，可能造成入侵者猜测 出用户名和密码，从而获得未授权访问应用系统的权力。 1,在登录机制中添加图形验证码。 2.增强用户名和密码复杂度，给暴力破解攻击设置障碍。 3.设置登录出错次数，超过设置值则临时冻结帐号一定时问。 验证机制漏洞应用安全漏洞入侵者利用验证机制漏洞，能够获得未经授权的访问应用程序以 及其中保存的数据。而且验证机制漏洞也可能导致其他核心安全 机制(如会话管理和访间控制)都无法有效实施。 1、使用 POST 请求向服务器传输密码等验证信息，避免将验证信 息放在 URL 参数或 cookie 中。 2、使用统一的安全提示语，防止提示语造成信息泄露，如“登录 失败，请重新登录”等，而不应提示“登录失败，账号错误”等。 3、使用密码修改功能时只能从已通过验证的会话中访问该功能。 会话管理漏洞应用安全漏洞入侵者利用会话管理漏洞，能够轻易的绕开应用系统上已部署的 安全验证机制，甚至不需要用户证书即可伪装成其他用户。 1、确保在连续请求中生成的标志用户身份的令牌，是随机的，不 可预测的。 2、禁止以明文形式或在 URL 中传