電子商務(wù)網(wǎng)站安全測(cè)試項(xiàng)目-應(yīng)用_第1頁(yè)
電子商務(wù)網(wǎng)站安全測(cè)試項(xiàng)目-應(yīng)用_第2頁(yè)
電子商務(wù)網(wǎng)站安全測(cè)試項(xiàng)目-應(yīng)用_第3頁(yè)
電子商務(wù)網(wǎng)站安全測(cè)試項(xiàng)目-應(yīng)用_第4頁(yè)
電子商務(wù)網(wǎng)站安全測(cè)試項(xiàng)目-應(yīng)用_第5頁(yè)
已閱讀5頁(yè),還剩2頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

電子商務(wù)網(wǎng)站安全測(cè)試項(xiàng)目-應(yīng)用漏洞名稱漏洞類型漏洞危害描述解決方案或建議交易撤銷缺陷功能缺陷某些機(jī)構(gòu)系統(tǒng)沒有交易撤銷功能,會(huì)導(dǎo)致用戶誤操作后,在日結(jié)之前,無法將操作取消。建議加上交易撤銷功能。界面數(shù)據(jù)項(xiàng)校驗(yàn)缺陷功能缺陷某些機(jī)構(gòu)系統(tǒng)對(duì)一些界面數(shù)據(jù)項(xiàng)沒有做長(zhǎng)度和字符的嚴(yán)格校驗(yàn),可能會(huì)導(dǎo)致用戶輸入錯(cuò)誤。建議對(duì)界面數(shù)據(jù)項(xiàng)做嚴(yán)格校驗(yàn)。未設(shè)置交易限額風(fēng)險(xiǎn)監(jiān)控漏洞未設(shè)置單筆、單日的交易限額,可能支付平臺(tái)被利用進(jìn)行套現(xiàn)、洗錢等違法金融活動(dòng)。建議設(shè)置與交易限額、日交易量相關(guān)的風(fēng)控規(guī)則。登錄提示信息中可能泄露信息網(wǎng)絡(luò)設(shè)備安全漏洞登錄提示信息中可能泄露信息。建議修改登錄提示信息,避免信息泄露。連續(xù)錯(cuò)誤登陸多次未自動(dòng)鎖定帳號(hào)碼主流操作系統(tǒng)漏洞當(dāng)某用戶賬號(hào)連續(xù)三次(或有限的次數(shù))登錄失敗,系統(tǒng)安全策略應(yīng)鎖定此賬號(hào),以防止該用戶賬號(hào)的密碼被暴力猜解。設(shè)置登錄失敗自動(dòng)鎖定策略。ActiveX控件漏洞主流操作系統(tǒng)漏洞入侵者利用應(yīng)用系統(tǒng)存在的ActiveX控件漏洞,可能造成入侵者利用ActiveX進(jìn)行網(wǎng)頁(yè)掛馬、讀取注冊(cè)表,訪問本地文件系統(tǒng)等。1、對(duì)ActiveX控件進(jìn)行源代碼審查與滲透測(cè)試,以避免緩沖區(qū)溢出之類的漏洞。

2、要求提交給ActiveX控件的所有參數(shù)使用加密簽名驗(yàn)證,避免未授權(quán)的域嘗試調(diào)用這些控件。本地緩存攻擊主流操作系統(tǒng)漏洞入侵者利用應(yīng)用系統(tǒng)存在的本地緩存攻擊漏洞,可能造成入侵者繞過安全限制,獲得敏感信息或破壞WEB緩存文件。1、通過在HTTP報(bào)頭或HTML標(biāo)簽中添加Cache-Control等參數(shù)阻止瀏覽器緩存頁(yè)面。

2、在表單標(biāo)簽或輸入字段的標(biāo)簽中設(shè)置autocomplete="off"屬性。樣例數(shù)據(jù)庫(kù)沒有刪除主流操作系統(tǒng)漏洞MySQL存在樣例數(shù)據(jù)庫(kù),用于示范功能和測(cè)試服務(wù)器。在上線系統(tǒng)中建議刪除樣例數(shù)據(jù)庫(kù),這樣,可以減少新弱點(diǎn)被利用的風(fēng)險(xiǎn)。例如:一個(gè)新的弱點(diǎn)要求必須有對(duì)視圖作查詢的能力,則樣例數(shù)據(jù)庫(kù)中的任一個(gè)視圖都能被用戶利用。如果刪除了樣例數(shù)據(jù)庫(kù),攻擊者需查詢其它的視圖,這將增加攻擊的難度。從產(chǎn)品系統(tǒng)中刪除兩個(gè)樣本數(shù)據(jù)庫(kù)。未設(shè)置使用SSL主流操作系統(tǒng)漏洞當(dāng)敏感信息在非信任網(wǎng)絡(luò)傳輸時(shí),建議使用SSL保護(hù)其一致性和完整性。建議使用SSL保證傳輸內(nèi)容安全。重復(fù)支付應(yīng)用安全漏洞由于支付系統(tǒng)的設(shè)計(jì)缺陷,導(dǎo)致可對(duì)同一商品訂單采用同一卡/帳戶或不同的卡/帳戶重復(fù)進(jìn)行支付,包括客戶無意的或者代理操作人員惡意的,對(duì)客戶造成經(jīng)濟(jì)利益損害。對(duì)每筆訂單進(jìn)行控制,在進(jìn)行支付操作時(shí),檢查該訂單的支付情況,對(duì)于支付異常的情況進(jìn)行回退操作;如己支付成功,進(jìn)行支付成功提示并拒絕再次支付。不安全的直接對(duì)象訪問應(yīng)用安全漏洞服務(wù)器上具體文件名、路徑或數(shù)據(jù)庫(kù)關(guān)鍵字等內(nèi)部資源被暴露在URL或網(wǎng)頁(yè)中,攻擊者可以此來嘗試直接訪問其他資源。主要防范措施:

1.避免在URL或網(wǎng)頁(yè)中直接引用內(nèi)部文件名或數(shù)據(jù)庫(kù)關(guān)鍵字;

2.可使用自定義的映射名稱來取代直接對(duì)象名;

3.鎖定網(wǎng)站服務(wù)器上的所有目錄和文件夾,設(shè)置訪問權(quán)限;

4.驗(yàn)證用戶輸入和URL請(qǐng)求,拒絕包含./或../的請(qǐng)求。URL訪問限制缺陷應(yīng)用安全漏洞某些Web應(yīng)用包含一些“隱藏”的URL,這些URL不顯示在網(wǎng)頁(yè)鏈接中,但管理員可以直接輸入U(xiǎn)RL訪問到這些“隱藏”頁(yè)面.如果我們不對(duì)這些URL做訪問限制,攻擊者仍然有機(jī)會(huì)打開它們。主要防范措施:

對(duì)于網(wǎng)站內(nèi)的所有內(nèi)容(不論公開的還是未公開的),都要進(jìn)行訪問控制檢查;

只允許用戶訪問特定的文件類型,比如html,asp,php等,禁止對(duì)其他文件類型的訪問。網(wǎng)站管理后臺(tái)地址應(yīng)用安全漏洞站點(diǎn)信息的更新通常通過后臺(tái)管理來實(shí)現(xiàn)的,web應(yīng)用程序開發(fā)者或者站點(diǎn)維護(hù)者可能使用常用的后臺(tái)地址名稱來管理,比如admin,manager等。攻擊者可能通過使用上述常用的地址嘗試訪問目標(biāo)站點(diǎn),獲取站點(diǎn)的后臺(tái)管理地址:攻擊者可能對(duì)后臺(tái)管理頁(yè)面進(jìn)行口令猜測(cè):如果后臺(tái)管理系統(tǒng)存在其他弱點(diǎn),被攻擊者利用,可能導(dǎo)致攻擊者獲取管理員權(quán)限甚至服務(wù)1、使用非常規(guī)的后臺(tái)管理地址名稱。

2、對(duì)訪問網(wǎng)站后臺(tái)地址的IP進(jìn)行限定或僅限內(nèi)網(wǎng)用戶訪問。

3、網(wǎng)站前端程序和后合管理程序分離,比如為后臺(tái)管理地址設(shè)置一個(gè)二級(jí)域名。上傳程序漏洞應(yīng)用安全漏洞應(yīng)用系統(tǒng)提供的上傳程序未對(duì)文件的大小、類到進(jìn)行校驗(yàn),攻擊者可以上傳asp.jsp.exe等腳本文件,從而獲得webshell。對(duì)上傳程序的大小、類型等進(jìn)行校驗(yàn),只允許用戶上傳固定類型的文件。惡意提交頁(yè)面應(yīng)用安全漏洞應(yīng)用系統(tǒng)的部分用戶交互模塊無驗(yàn)證碼、提交次數(shù)限定等機(jī)制,攻擊者可能利用該頁(yè)面進(jìn)行惡意提交,產(chǎn)生大量垃圾數(shù)據(jù),造成服務(wù)器性能下降。用戶交互模塊增加驗(yàn)證碼、提交次數(shù)限定等惡意提交防范機(jī)制。暴力破解應(yīng)用安全漏洞入侵者利用應(yīng)用系統(tǒng)存在的暴力破解漏洞,可能造成入侵者猜測(cè)出用戶名和密碼,從而獲得未授權(quán)訪問應(yīng)用系統(tǒng)的權(quán)力。1,在登錄機(jī)制中添加圖形驗(yàn)證碼。

2.增強(qiáng)用戶名和密碼復(fù)雜度,給暴力破解攻擊設(shè)置障礙。

3.設(shè)置登錄出錯(cuò)次數(shù),超過設(shè)置值則臨時(shí)凍結(jié)帳號(hào)一定時(shí)問。驗(yàn)證機(jī)制漏洞應(yīng)用安全漏洞入侵者利用驗(yàn)證機(jī)制漏洞,能夠獲得未經(jīng)授權(quán)的訪問應(yīng)用程序以及其中保存的數(shù)據(jù)。而且驗(yàn)證機(jī)制漏洞也可能導(dǎo)致其他核心安全機(jī)制(如會(huì)話管理和訪間控制)都無法有效實(shí)施。1、使用POST請(qǐng)求向服務(wù)器傳輸密碼等驗(yàn)證信息,避免將驗(yàn)證信息放在URL參數(shù)或cookie中。

2、使用統(tǒng)一的安全提示語(yǔ),防止提示語(yǔ)造成信息泄露,如“登錄失敗,請(qǐng)重新登錄”等,而不應(yīng)提示“登錄失敗,賬號(hào)錯(cuò)誤”等。

3、使用密碼修改功能時(shí)只能從已通過驗(yàn)證的會(huì)話中訪問該功能。會(huì)話管理漏洞應(yīng)用安全漏洞入侵者利用會(huì)話管理漏洞,能夠輕易的繞開應(yīng)用系統(tǒng)上已部署的安全驗(yàn)證機(jī)制,甚至不需要用戶證書即可偽裝成其他用戶。1、確保在連續(xù)請(qǐng)求中生成的標(biāo)志用戶身份的令牌,是隨機(jī)的,不可預(yù)測(cè)的。

2、禁止以明文形式或在URL中傳送生成的安全令牌

3、退出系統(tǒng)時(shí)應(yīng)刪除服務(wù)器上的所有會(huì)話資源并終止會(huì)話令牌。

4、用戶會(huì)話處于非活動(dòng)狀態(tài)一段時(shí)間(如10分鐘)后,應(yīng)終止會(huì)話。訪問控制漏洞應(yīng)用安全漏洞入侵者利用會(huì)話管理漏洞,能夠執(zhí)行某種入侵者沒有資格執(zhí)行的操

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論