PHP 电商安全检测

2015-08-31 11:14:03 +08:00
 lufyluo

想测试 PHP 电商系统是否安全,想求大神指教有哪些模块(比如上传、执行 sql )容易被攻击。攻击方式,最好还有参考的解决方案!
出来吧! PHP 兽

4924 次点击
所在节点    PHP
35 条回复
lufyluo
2015-08-31 11:14:38 +08:00
自己先来顶一下
bball
2015-08-31 11:26:10 +08:00
搜索: SQL 注入
or2me
2015-08-31 11:34:50 +08:00
常规的 SQL 注入,任意上传, XSS 等等就不说了
电商比较容易出现的是平行越权,就是订单遍历,用户资料遍历之类的
logfile
2015-08-31 11:36:43 +08:00
1 、 armitage
2 、 kali linux &&metasploit
tabris17
2015-08-31 11:41:07 +08:00
sql 、 xss 、 csrf 等这些常规漏洞 ls 都说了

还有电商平台需要注意的是,订单和用户增量的保密,不要在前端和 url 里暴露用户和订单记录的自增 ID
如果有库存功能,注意库存访问会不会有数据一致性的问题
letitbesqzr
2015-08-31 11:42:24 +08:00
有一点想说的,千万别拿自增 id 当订单 id ... 别人一看就了解你网站到底有多少订单,分析下就知道你网站每天多少订单了。
ivmm
2015-08-31 12:31:08 +08:00
各种流氓检测用一下
lufyluo
2015-08-31 13:14:32 +08:00
@bball 感谢, sql 注入我已经注意了,但是我不知道有没有高深手段能瞒过 我的处理机制,目前我处理是有个全局安全检测, sql 语句的 and 和 or 等关键字不能从前台传入,只能我后台拼接。还有其他可以绕过我这个处理机制的吗?
lufyluo
2015-08-31 13:15:09 +08:00
@or2me 3Q ,量大,我慢慢一个一个撸
lufyluo
2015-08-31 13:15:51 +08:00
@tabris17 3Q , 已经记录在案
lufyluo
2015-08-31 13:16:38 +08:00
@letitbesqzr 嗯, 3Q ,这个我们已经规避
tabris17
2015-08-31 13:20:13 +08:00
@lufyluo 对于你这种方法我只能表示“呵呵”
iyaozhen
2015-08-31 13:47:45 +08:00
@lufyluo 你后台还在拼接的话肯定不行。

电商的话需要更加关注数据一致性、事务等。
lufyluo
2015-08-31 14:32:20 +08:00
@tabris17
@iyaozhen 小弟先感谢了,我这样是为了杜绝注入,能详细讲下我这样的弊端吗?
ljbha007
2015-08-31 14:37:35 +08:00
@lufyluo 有 mysql_real_escape_string 这样的东西为什么要自己过滤?
honkew
2015-08-31 15:00:21 +08:00
怎么不用 pdo
xifangczy
2015-08-31 15:06:00 +08:00
多去 wooyun 逛逛 搜 ecshop 之类看看有没有犯同样的错误。
lufyluo
2015-08-31 15:24:02 +08:00
@ljbha007 对对!感谢感谢,我嫩鸟 PHP
lufyluo
2015-08-31 15:24:57 +08:00
@xifangczy 3Q ,已去
shuimugan
2015-08-31 16:24:48 +08:00
逻辑上的:
负数金额购买
充值回调时并发,可能导致充一次钱,实际上给账户加了几次

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/217258

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX