PHP 电商安全检测

2015-08-31 11:14:03 +08:00
 lufyluo

想测试 PHP 电商系统是否安全,想求大神指教有哪些模块(比如上传、执行 sql )容易被攻击。攻击方式,最好还有参考的解决方案!
出来吧! PHP 兽

4882 次点击
所在节点    PHP
35 条回复
wapy
2015-08-31 17:36:35 +08:00
sql , xss 上传
平行权限 垂直权限
订单遍历等信息泄露
金额校验,运费是否能为负
ByZHkc3
2015-08-31 19:12:34 +08:00
建议去乌云知识库看看
Felldeadbird
2015-08-31 21:32:48 +08:00
@lufyluo sql 语句的 and 和 or 等关键字不能从前台传入 不要在用这种 老旧的过滤规则了。把系统数据库链接换 mysqli 或者 PDO 吧。 预处理彻底阻止注入的漏洞。 这种规则 你会发现 很多 敏感关键词的。
楼上好像没人说到图片木马方面的。
ys0290
2015-09-01 08:07:14 +08:00
@letitbesqzr 请问有什么办法可以不拿自增 id 做订单 id ?
letitbesqzr
2015-09-01 09:19:45 +08:00
@ys0290 uuid
lufyluo
2015-09-01 09:49:20 +08:00
@shuimugan
@wapy
@ByZHkc3

感谢感谢,
lufyluo
2015-09-01 09:49:32 +08:00
@Felldeadbird 非常感谢
niliu
2015-09-01 14:47:00 +08:00
当你觉得你的网站安全没有问题了,可以来乌云众测看看。 http://ce.wooyun.org
@lufyluo
lufyluo
2015-09-01 15:43:04 +08:00
@niliu 你好!我们用 360 扫的,这个行吗?
niliu
2015-09-01 16:17:15 +08:00
@lufyluo 我只能说一个扫描器能发现的问题太有限了,更何况 xxx 你懂得。看你们对安全还是挺重视,如果想全面的检查一下网站业务安全问题,我还是强烈建议去乌云众测,我大概描述一下吧:参与众测项目的都是乌云平台的顶尖白帽子,大概 20-30 人不等,全部手工测试,不用担心扫描器影响业务而且漏洞质量很高,数量很多。而且乌云的白帽子非常有节操。。 PS:这并不是广告,这是一个乌云白帽子的心声! 对了,你还可以去了解一下唐朝安全巡检 www.tangscan.com ,由乌云社区众多安全研究人员维护的企业在线安全平台。
niliu
2015-09-01 16:17:36 +08:00
@or2me 娃娃你好伟大!
mingyun
2015-09-04 23:47:07 +08:00
@niliu nice
wapy
2015-09-05 12:43:19 +08:00
@niliu 绿帽子?
jiehuangwei
2015-09-06 17:25:01 +08:00
有很多类似的工具,扫扫更健康
chord
2015-09-28 14:50:17 +08:00
电商最重要就是
事务 事务 事务
重要的事情说三遍

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/217258

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX