由于电商网站直接涉及金钱交易,其本身安全性至关重要。网站只有自身安全了,才能保证普通网民在此做金钱交易的时候,不发生安全问题。又到了每年的网购高峰期了,看着那一个一个不断刷新纪录的销售额,你很难不为网购的力量而惊叹。但在这背后,存在哪些安全问题呢?普通网民如何保证自己在网购中的安全性呢?
以下是笔者以淘宝、京东和苏宁为例,对国内影响力最大的漏洞报告平台wooyun上相关信息所做的相关统计。
一、淘宝漏洞情况
淘宝号称亚洲最大、最安全的网上交易平台。双11最耀眼的网购平台taobao在wooyun上被提交的漏洞,在电商上算得上是最多的。或许是树大招风吧,对其感兴趣的白帽子也很多,所以导致平台上taobao的漏洞多于其他电商。但是国内电商平台本身的安全性来讲,我相信淘宝其平台本身肯定是最好的。来看一下淘宝网的漏洞统计:
xss漏洞
xss漏洞是指攻击者可在对方网站插入自己可供的一段js代码,从而控制浏览者的浏览器的部分权限。xss的危害通常在sns社区中显现出来,有人会拿来做恶作剧、做蠕虫,对用户形成骚扰,产生垃圾信息。有人会拿来诱惑用户点击攻击链接,从而盗取用户身份。
在网购平台上来讲,最大的利用当属钓鱼购物,这种可以直接转化为利益的攻击方式:
从wooyun上的一个案例中可窥探一下针对taobao做黑产的一角:
几个含金量很高的xss技巧:
WooYun: 淘宝网COOKIES盗取[flash编程安全+apache http-only cookie 泄漏利用]
WooYun: 一个flash的0day导致的淘宝网存储xss 【续集】
url跳转
url跳转漏洞的介绍见此:
http://drops.wooyun.org/papers/58
url跳转同样是经常被用来钓鱼。
通过跳转绕过阿里旺旺的钓鱼网址检测系统:
钓鱼的其他手段
在厂商已经把安全性做了很好的前提下,仍然不能保证网民一定不会被钓鱼。
下面看看一些其他的钓鱼手段:
钓鱼淘宝卖家,收集密码的后台被白帽子拿下上报wooyun
这个style使用的让人眼前一亮:
程序设计缺陷
WooYun: 淘宝第三方应用权限验证错误(可修改19.8万店铺任意宝贝标题)
修改ccs样式修改商品的信息,人才啊:
WooYun: 手机淘宝网session劫持,可进一步发展为蠕虫
这种支付的漏洞,真没想到taobao也会有:
WooYun: 淘宝网,任何人可随意拿走任意店铺、任意商品信息
业务逻辑
WooYun: 淘宝卖家0元加入消保,并且点亮消保图标,不用话1000元了
客户端问题
WooYun: 阿里旺旺的一个远程任意代码执行漏洞(发送消息即中)
WooYun: 淘宝浏览器3.0.2.604修改配置可能导致本地的DLL注入
WooYun: 淘宝应用iphone设计缺陷可无限制猜试密码
WooYun: 淘宝android手机客户端登陆信息可被键盘记录
服务器配置问题
信息泄露
WooYun: (新) 淘宝网成交记录用户ID泄露漏洞(附上扫号程序)
能猜到这个地址,我只想说,人才:
web程序其他漏洞
struts惹的祸:
struts这个框架近几年被爆多次远程代码执行漏洞,导致很多使用改框架的公司受害:
WooYun: 淘宝某分站最新Struts命令执行漏洞又一枚
其他
即使平台本身没有问题,也会有人做各种钓鱼的页面,采用各种手段来骗取网购用户在其制作的假网站中消费,骗取钱财。
针对taobao的钓鱼程序:
下面是taobao厂商的部分回复内容:
感谢反馈。 这类问题不在淘宝控制范围内,我们没办法限制他的产生,但一直在尽力控制钓鱼链接对用户产生的危害: 1. 我们会在旺旺聊天信息中提示风险,同时建议用户不在旺旺以外的IM软件中谈淘宝相关的交易。 2. 我们会对IM旺旺和会员反馈进行监控,结合各类检测模型,尽量在第一时间发现新产生的钓鱼链接,在IM中进行封禁。 3. 我们积极与外部厂商(浏览器、杀毒软件、安全管理软件等)合作,将钓鱼链接信息同步,起到更好的保护作用。 4. 我们将马上上线一个钓鱼链接在线举报平台,欢迎各位积极举报。
还有最近被公开很火的针对路由使用默认密码
WooYun: 双十一淘宝论坛惊现“路由器CSRF”恶意攻击代码(其他论坛可能一样中招)
淘宝问题总结
以上漏洞并未列出全部的漏洞,但代表了一些比较典型的问题。
淘宝业务较多,逻辑复杂,出现了struts命令执行等获得服务器的漏洞,以及泄露匿名用户信息,支付漏洞以及xss,url跳转可被钓鱼的漏洞等。
#p#
二、京东漏洞情况
京东商城定位是专业的数码网上购物商城。由于京东线上业务逻辑远没有淘宝那么复杂,所以漏洞总数在wooyun上并不如taobao多。但是漏洞的严重程度,远大于taobao。从漏洞的忽略程度来看,可能与京东2012年刚组建安全团队有关。但我们也看到,京东对安全问题逐渐重视。京东漏洞情况分述如下:
Xss
也有很多,此处不一一列举了。
安全事件
程序逻辑
WooYun: 京东物流后台未授权访问可以修改收货状态(刷返券)
URL跳转
信息泄露
客户端问题
SQL注入
struts
京东从.net转向java,使用的struts,被坑惨了:
服务器配置
逻辑问题
京东问题总结
总体来说,京东存在的大大小小的安全问题也不少,但是相对于以前,已经对安全重视很多。希望京东内部能够更加重视安全。
#p#
三、苏宁易购漏洞情况
苏宁易购,是苏宁电器集团的新一代B2C网上商城,于2009年8月18日上线试运营。其漏洞情况如下:
sql注入
WooYun: 苏宁易购某分站SA权限SQL注入,可shell可渗透
WooYun: 苏宁易购某分站注谢可得到用户联系方式等重要信息
程序逻辑
比较严重的问题
WooYun: 苏宁某分站存在可被入侵风险(机房内网可被渗透)
WooYun: 苏宁易购的几个严重安全漏洞合集(任意文件读取,任意命令执行)
WooYun: 苏宁漏洞大礼包一份 (Shell+跨盘任意下载+内部平台数据库+上万份内部文件任意浏览...)
支付漏洞
苏宁易购问题总结
苏宁易购安全性做得一般,大小安全问题不少。
总结
从乌云漏洞平台上可以看到,无论大小电商,多多少少都存在些问题。淘宝的电商平台拥有专业的安全团队,但是由于业务过多,依然可能存在可被获取服务器权限的漏洞。其他电商网站有的刚配上专业安全团队,有的可能对安全的重视程度还有限,尚未配专业安全团队,但大都在努力保证其安全性。包括淘宝在内的一些互联网公司也在努力对网民做钓鱼的防范意识教育,全面保证网民在网购中的安全性。希望各电商能与白帽子共同努力,共同推动电商平台变得更加安全。
