返回
电子商务网站安全测试项目应用

电子商务网站安全测试项目应用

ID:36509396

大小:56.19 KB

页数:6页

时间:2019-05-11

电子商务网站安全测试项目应用_第1页
电子商务网站安全测试项目应用_第2页
电子商务网站安全测试项目应用_第3页
电子商务网站安全测试项目应用_第4页
电子商务网站安全测试项目应用_第5页
资源描述:

《电子商务网站安全测试项目应用》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、电子商务网站安全测试项目-应用漏洞名称漏洞类型漏洞危害描述解决方案或建议交易撤销缺陷功能缺陷某些机构系统没有交易撤销功能,会导致用户误操作后,在日结之前,无法将操作取消。建议加上交易撤销功能。界面数据项校验缺陷功能缺陷某些机构系统对一些界面数据项没有做长度和字符的严格校验,可能会导致用户输入错误。建议对界面数据项做严格校验。未设置交易限额风险监控漏洞未设置单笔、单日的交易限额,可能支付平台被利用进行套现、洗钱等违法金融活动。建议设置与交易限额、日交易量相关的风控规则。登录提示信息中可能泄露信息网络设备安全漏

2、洞登录提示信息中可能泄露信息。建议修改登录提示信息,避免信息泄露。连续错误登陆多次未自动锁定帐号码主流操作系统漏洞当某用户账号连续三次(或有限的次数)登录失败,系统安全策略应锁定此账号,以防止该用户账号的密码被暴力猜解。设置登录失败自动锁定策略。ActiveX控件漏洞主流操作系统漏洞入侵者利用应用系统存在的ActiveX控件漏洞,可能造成入侵者利用ActiveX进行网页挂马、读取注册表,访问本地文件系统等。1、对ActiveX控件进行源代码审查与渗透测试,以避免缓冲区溢出之类的漏洞。2、要求提交给Activ

3、eX控件的所有参数使用加密签名验证,避免未授权的域尝试调用这些控件。本地缓存攻击主流操作系统漏洞入侵者利用应用系统存在的本地缓存攻击漏洞,可能造成入侵者绕过安全限制,获得敏感信息或破坏WEB缓存文件。1、通过在HTTP报头或HTML标签中添加Cache-Control等参数阻止浏览器缓存页面。2、在表单标签或输入字段的标签中设置autocomplete="off"属性。样例数据库没有删除主流操作系统漏洞MySQL存在样例数据库,用于示范功能和测试服务器。在上线系统中建议删除样例数据库,这样,可以减少新弱点被

4、利用的风险。例如:一个新的弱点要求必须有对视图作查询的能力,则样例数据库中的任一个视图都能被用户利用。如果删除了样例数据库,攻击者需查询其它的视图,这将增加攻击的难度。从产品系统中删除两个样本数据库。未设置使用SSL主流操作系统漏洞当敏感信息在非信任网络传输时,建议使用SSL保护其一致性和完整性。建议使用SSL保证传输内容安全。重复支付应用安全漏洞由于支付系统的设计缺陷,导致可对同一商品订单采用同一卡/帐户或不同的卡/帐户重复进行支付,包括客户无意的或者代理操作人员恶意的,对客户造成经济利益损害。对每笔订单

5、进行控制,在进行支付操作时,检查该订单的支付情况,对于支付异常的情况进行回退操作;如己支付成功,进行支付成功提示并拒绝再次支付。不安全的直接对象访问应用安全漏洞服务器上具体文件名、路径或数据库关键字等内部资源被暴露在URL或网页中,攻击者可以此来尝试直接访问其他资源。主要防范措施:1.避免在URL或网页中直接引用内部文件名或数据库关键字;2.可使用自定义的映射名称来取代直接对象名;3.锁定网站服务器上的所有目录和文件夹,设置访问权限;4.验证用户输入和URL请求,拒绝包含./或../的请求。URL访问限制缺

6、陷应用安全漏洞某些Web应用包含一些“隐藏”的URL,这些URL不显示在网页链接中,但管理员可以直接输入URL访问到这些“隐藏”页面.如果我们不对这些URL做访问限制,攻击者仍然有机会打开它们。主要防范措施:对于网站内的所有内容(不论公开的还是未公开的),都要进行访问控制检查;只允许用户访问特定的文件类型,比如html,asp,php等,禁止对其他文件类型的访问。网站存在测试垃圾页面应用安全漏洞在默认安装模式下,许多Web服务器和应用程序服务器都提供了样本应用程序和文件,以便开发者测试安装之后服务器是否能正

7、常运行。垃圾页面是信息泄露类型漏洞的一种,他为攻击者提供了少量的部分系统和后台服务信息。但由于垃圾页面一般是旧信息或是无用信息,所以泄露出的信息并不是直接的、严重的,然而存在垃圾页面会一定程度影响到网站形象。删除测试页面,并形成不在WEB可访问文件夹下操作的管理习惯,以避免遭到攻击。网站后台暴露应用安全漏洞攻击者可以用暴力破解的方式来猜测管理后台的户名和密码,从而登陆进后台来发布虚假新进行完善的网站管理系统配置,关闭用户远程访问的功能。网上交易无密码安全控件,可窃取用户账号和密码信息应用安全漏洞键盘记录是目

8、前比较有效的攻击手段,但攻击者并不把目标指向安全防御相对较高的服务提供方,而是针对安全意识较淡薄的接受服务人群,通过植入一个进程,监控内存中的输入缓冲区活动,以获取密码。此类攻击会严重影响客户的交易安全,同样会损伤服务商的声誉。网上交易页面中的密码安全控件在使用键盘输入密码时失效,说明目前采用的安全控件不能完全有效防止木马截取键盘信息,建议尽快增加密码安全控件,以保障用户在输入账号和密码时的安全性。SQL注入攻击

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。