V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
lufyluo
V2EX  ›  PHP

PHP 电商安全检测

  •  
  •   lufyluo · 2015-08-31 11:14:03 +08:00 · 4879 次点击
    这是一个创建于 3364 天前的主题,其中的信息可能已经有所发展或是发生改变。

    想测试 PHP 电商系统是否安全,想求大神指教有哪些模块(比如上传、执行 sql )容易被攻击。攻击方式,最好还有参考的解决方案!
    出来吧! PHP 兽

    35 条回复    2015-09-28 14:50:17 +08:00
    lufyluo
        1
    lufyluo  
    OP
       2015-08-31 11:14:38 +08:00
    自己先来顶一下
    bball
        2
    bball  
       2015-08-31 11:26:10 +08:00
    搜索: SQL 注入
    or2me
        3
    or2me  
       2015-08-31 11:34:50 +08:00
    常规的 SQL 注入,任意上传, XSS 等等就不说了
    电商比较容易出现的是平行越权,就是订单遍历,用户资料遍历之类的
    logfile
        4
    logfile  
       2015-08-31 11:36:43 +08:00
    1 、 armitage
    2 、 kali linux &&metasploit
    tabris17
        5
    tabris17  
       2015-08-31 11:41:07 +08:00
    sql 、 xss 、 csrf 等这些常规漏洞 ls 都说了

    还有电商平台需要注意的是,订单和用户增量的保密,不要在前端和 url 里暴露用户和订单记录的自增 ID
    如果有库存功能,注意库存访问会不会有数据一致性的问题
    letitbesqzr
        6
    letitbesqzr  
       2015-08-31 11:42:24 +08:00   ❤️ 2
    有一点想说的,千万别拿自增 id 当订单 id ... 别人一看就了解你网站到底有多少订单,分析下就知道你网站每天多少订单了。
    ivmm
        7
    ivmm  
       2015-08-31 12:31:08 +08:00
    各种流氓检测用一下
    lufyluo
        8
    lufyluo  
    OP
       2015-08-31 13:14:32 +08:00
    @bball 感谢, sql 注入我已经注意了,但是我不知道有没有高深手段能瞒过 我的处理机制,目前我处理是有个全局安全检测, sql 语句的 and 和 or 等关键字不能从前台传入,只能我后台拼接。还有其他可以绕过我这个处理机制的吗?
    lufyluo
        9
    lufyluo  
    OP
       2015-08-31 13:15:09 +08:00
    @or2me 3Q ,量大,我慢慢一个一个撸
    lufyluo
        10
    lufyluo  
    OP
       2015-08-31 13:15:51 +08:00
    @tabris17 3Q , 已经记录在案
    lufyluo
        11
    lufyluo  
    OP
       2015-08-31 13:16:38 +08:00
    @letitbesqzr 嗯, 3Q ,这个我们已经规避
    tabris17
        12
    tabris17  
       2015-08-31 13:20:13 +08:00
    @lufyluo 对于你这种方法我只能表示“呵呵”
    iyaozhen
        13
    iyaozhen  
       2015-08-31 13:47:45 +08:00
    @lufyluo 你后台还在拼接的话肯定不行。

    电商的话需要更加关注数据一致性、事务等。
    lufyluo
        14
    lufyluo  
    OP
       2015-08-31 14:32:20 +08:00
    @tabris17
    @iyaozhen 小弟先感谢了,我这样是为了杜绝注入,能详细讲下我这样的弊端吗?
    ljbha007
        15
    ljbha007  
       2015-08-31 14:37:35 +08:00
    @lufyluo 有 mysql_real_escape_string 这样的东西为什么要自己过滤?
    honkew
        16
    honkew  
       2015-08-31 15:00:21 +08:00
    怎么不用 pdo
    xifangczy
        17
    xifangczy  
       2015-08-31 15:06:00 +08:00
    多去 wooyun 逛逛 搜 ecshop 之类看看有没有犯同样的错误。
    lufyluo
        18
    lufyluo  
    OP
       2015-08-31 15:24:02 +08:00
    @ljbha007 对对!感谢感谢,我嫩鸟 PHP
    lufyluo
        19
    lufyluo  
    OP
       2015-08-31 15:24:57 +08:00
    @xifangczy 3Q ,已去
    shuimugan
        20
    shuimugan  
       2015-08-31 16:24:48 +08:00
    逻辑上的:
    负数金额购买
    充值回调时并发,可能导致充一次钱,实际上给账户加了几次
    wapy
        21
    wapy  
       2015-08-31 17:36:35 +08:00
    sql , xss 上传
    平行权限 垂直权限
    订单遍历等信息泄露
    金额校验,运费是否能为负
    ByZHkc3
        22
    ByZHkc3  
       2015-08-31 19:12:34 +08:00 via Android
    建议去乌云知识库看看
    Felldeadbird
        23
    Felldeadbird  
       2015-08-31 21:32:48 +08:00
    @lufyluo sql 语句的 and 和 or 等关键字不能从前台传入 不要在用这种 老旧的过滤规则了。把系统数据库链接换 mysqli 或者 PDO 吧。 预处理彻底阻止注入的漏洞。 这种规则 你会发现 很多 敏感关键词的。
    楼上好像没人说到图片木马方面的。
    ys0290
        24
    ys0290  
       2015-09-01 08:07:14 +08:00 via iPhone
    @letitbesqzr 请问有什么办法可以不拿自增 id 做订单 id ?
    letitbesqzr
        25
    letitbesqzr  
       2015-09-01 09:19:45 +08:00   ❤️ 1
    @ys0290 uuid
    lufyluo
        26
    lufyluo  
    OP
       2015-09-01 09:49:20 +08:00
    @shuimugan
    @wapy
    @ByZHkc3

    感谢感谢,
    lufyluo
        27
    lufyluo  
    OP
       2015-09-01 09:49:32 +08:00
    @Felldeadbird 非常感谢
    niliu
        28
    niliu  
       2015-09-01 14:47:00 +08:00
    当你觉得你的网站安全没有问题了,可以来乌云众测看看。 http://ce.wooyun.org
    @lufyluo
    lufyluo
        29
    lufyluo  
    OP
       2015-09-01 15:43:04 +08:00
    @niliu 你好!我们用 360 扫的,这个行吗?
    niliu
        30
    niliu  
       2015-09-01 16:17:15 +08:00
    @lufyluo 我只能说一个扫描器能发现的问题太有限了,更何况 xxx 你懂得。看你们对安全还是挺重视,如果想全面的检查一下网站业务安全问题,我还是强烈建议去乌云众测,我大概描述一下吧:参与众测项目的都是乌云平台的顶尖白帽子,大概 20-30 人不等,全部手工测试,不用担心扫描器影响业务而且漏洞质量很高,数量很多。而且乌云的白帽子非常有节操。。 PS:这并不是广告,这是一个乌云白帽子的心声! 对了,你还可以去了解一下唐朝安全巡检 www.tangscan.com ,由乌云社区众多安全研究人员维护的企业在线安全平台。
    niliu
        31
    niliu  
       2015-09-01 16:17:36 +08:00
    @or2me 娃娃你好伟大!
    mingyun
        32
    mingyun  
       2015-09-04 23:47:07 +08:00
    @niliu nice
    wapy
        33
    wapy  
       2015-09-05 12:43:19 +08:00
    @niliu 绿帽子?
    jiehuangwei
        34
    jiehuangwei  
       2015-09-06 17:25:01 +08:00
    有很多类似的工具,扫扫更健康
    chord
        35
    chord  
       2015-09-28 14:50:17 +08:00
    电商最重要就是
    事务 事务 事务
    重要的事情说三遍
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3639 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 04:30 · PVG 12:30 · LAX 20:30 · JFK 23:30
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.