電商網站由于是直接涉及到金錢的交易,對其本身的安全性要求很高。
這樣才能保證普通網民在其網站做金錢交易的時候,不會發生安全問題。
雙11剛過,看著那一個一個突破以往的數字,讓人驚嘆網購的力量。
但是這背后,可能存在哪些安全性的問題呢?
普通網民在網購的時候應該注意些什么呢?
從國業內影響力最大的漏洞報告平臺wooyun上來看一下吧(拿淘寶,京東,蘇寧做例子做個統計。)。
淘寶號稱亞洲最大、最安全的網上交易平臺。
雙11最耀眼的網購平臺,taobao在wooyun上被提交的漏洞,在電商上算得上是最多的。
或許是樹大招風吧,對其感興趣的白帽子也很多,所以導致平臺上taobao的漏洞多于其他電商。
但是國內電商平臺本身的安全性來講,我相信淘寶其平臺本身肯定是最好的。
來看一下淘寶網的漏洞統計:
關于xss漏洞是指攻擊者可在對方網站插入自己可供的一段js代碼,從而控制瀏覽者的瀏覽器的部分權限。
xss的危害通常在sns社區中顯現出來,有人會拿來做惡作劇、做蠕蟲,對用戶形成騷擾,產生垃圾信息。
有人會拿來誘惑用戶點擊攻擊鏈接,從而盜取用戶身份。
在網購平臺上來講,最大的利用當屬釣魚購物,這種可以直接轉化為利益的攻擊方式:
從wooyun上的一個案例中可窺探一下針對taobao做黑產的一角:
幾個含金量很高的xss技巧:
WooYun: 淘寶網COOKIES盜取[flash編程安全+apache http-only cookie 泄漏利用]
WooYun: 一個flash的0day導致的淘寶網存儲xss 【續集】
url跳轉漏洞的介紹見此:
http://drops.wooyun.org/papers/58
url跳轉同樣是經常被用來釣魚。
通過跳轉繞過阿里旺旺的釣魚網址檢測系統:
在廠商已經把安全性做了很好的前提下,仍然不能保證網民一定不會被釣魚。
下面看看一些其他的釣魚手段:
釣魚淘寶賣家,收集密碼的后臺被白帽子拿下上報wooyun
這個style使用的讓人眼前一亮:
WooYun: 淘寶第三方應用權限驗證錯誤(可修改19.8萬店鋪任意寶貝標題)
修改ccs樣式修改商品的信息,人才啊:
WooYun: 手機淘寶網session劫持,可進一步發展為蠕蟲
這種支付的漏洞,真沒想到taobao也會有:
WooYun: 淘寶網,任何人可隨意拿走任意店鋪、任意商品信息
WooYun: 淘寶賣家0元加入消保,并且點亮消保圖標,不用話1000元了
WooYun: 阿里旺旺的一個遠程任意代碼執行漏洞(發送消息即中)
WooYun: 淘寶瀏覽器3.0.2.604修改配置可能導致本地的DLL注入
WooYun: 淘寶應用iphone設計缺陷可無限制猜試密碼
WooYun: 淘寶android手機客戶端登陸信息可被鍵盤記錄
WooYun: (新) 淘寶網成交記錄用戶ID泄露漏洞(附上掃號程序)
能猜到這個地址,我只想說,人才:
struts惹的禍:
struts這個框架近幾年被爆多次遠程代碼執行漏洞,導致很多使用改框架的公司受害:
WooYun: 淘寶某分站最新Struts命令執行漏洞又一枚
即使平臺本身沒有問題,也會有人做各種釣魚的頁面,采用各種手段來騙取網購用戶在其制作的假網站中消費,騙取錢財。
針對taobao的釣魚程序:
針對釣魚網址taobao的確比較難直接將其關閉,但是也做了很多措施。
如下面白帽子提交漏洞:
下面的taobao廠商的回復:
感謝反饋。
這類問題不在淘寶控制范圍內,我們沒辦法限制他的產生,但一直在盡力控制釣魚鏈接對用戶產生的危害:
1. 我們會在旺旺聊天信息中提示風險,同時建議用戶不在旺旺以外的IM軟件中談淘寶相關的交易。
2. 我們會對IM旺旺和會員反饋進行監控,結合各類檢測模型,盡量在第一時間發現新產生的釣魚鏈接,在IM中進行封禁。
3. 我們積極與外部廠商(瀏覽器、殺毒軟件、安全管理軟件等)合作,將釣魚鏈接信息同步,起到更好的保護作用。
4. 我們將馬上上線一個釣魚鏈接在線舉報平臺,歡迎各位積極舉報。
例如最近被公開很火的針對路由使用默認密碼
WooYun: 雙十一淘寶論壇驚現“路由器CSRF”惡意攻擊代碼(其他論壇可能一樣中招)
以上漏洞并未列出全部的漏洞,提了一些比較典型的問題。
淘寶業務較多,邏輯復雜,出現了struts命令執行等獲得服務器的漏洞,以及泄露匿名用戶信息,支付漏洞以及xss,url跳轉可被釣魚的漏洞等。
京東商城-專業的數碼網上購物商城
由于京東線上業務邏輯遠沒有淘寶那么復雜,所以漏洞總數在wooyun上并不如taobao多。
但是漏洞的嚴重程度,遠大于taobao。
從漏洞的忽略程度來看,京東12年的時候可能剛組建專門的安全團隊。
對安全問題逐漸重視。
xss也有很多,就不一一列舉了
WooYun: 京東物流后臺未授權訪問可以修改收貨狀態(刷返券)
京東從.net轉向java,使用的struts,被坑慘了:
其實一個公司對安全的重視程度怎么樣,從下面這個漏洞就可以基本看出個大概。
該漏洞詳情還未完全公開,核心白帽子可以查看:
總體來說存在的安全問題大大小小也不少,但是相對于以前,已經對安全重視很多。
希望京東內部能夠更加重視安全,畢竟做電商的,用戶金錢有了損傷還是很嚴重的。
蘇寧易購,是蘇寧電器集團的新一代B2C網上商城,于2009年8月18日上線試運營。2010年1月25日,蘇寧電器在南京總部宣布,公司的B2C網購平臺“蘇寧易購”將于2月1日正式上線,并將自主采購、獨立運營,蘇寧電器也由此正式出手電子商務B-t-C領域。
嗯。。。sql注入也會有這么多:
WooYun: 蘇寧易購某分站SA權限SQL注入,可shell可滲透
WooYun: 蘇寧易購某分站注謝可得到用戶聯系方式等重要信息
WooYun: 蘇寧某分站存在可被入侵風險(機房內網可被滲透)
WooYun: 蘇寧易購的幾個嚴重安全漏洞合集(任意文件讀取,任意命令執行)
WooYun: 蘇寧漏洞大禮包一份 (Shell+跨盤任意下載+內部平臺數據庫+上萬份內部文件任意瀏覽...)
支付漏洞
蘇寧易購不太清楚是否有自己的安全團隊,其安全性做的一般,大小問題不少,希望再接再厲:)
從烏云的平臺上可以看到,大如淘寶的電商平臺,擁有專業的安全團隊,但是由于業務過多,依然可能存在可被獲取服務器權限的漏洞。
其他電商網站有的剛配上專業的安全團隊,有的可能對安全的重視程度還未達到需要配專業安全團隊的地步,但大都在努力保證其安全性。
包括淘寶等一些互聯網公司也在努力對網民做釣魚的防范意識教育,全面的保證網民在網購上的安全性。
希望各電商能與白帽子共同努力,打造一個安全的電商平臺。:)