PHP 电商安全检测

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

这是一个创建于 3356 天前的主题，其中的信息可能已经有所发展或是发生改变。

想测试 PHP 电商系统是否安全，想求大神指教有哪些模块（比如上传、执行 sql ）容易被攻击。攻击方式，最好还有参考的解决方案！
出来吧！ PHP 兽

PHP

电商

SQL

攻击

35 条回复 • 2015-09-28 14:50:17 +08:00

lufyluo

2015-08-31 11:14:38 +08:00

自己先来顶一下

bball

2015-08-31 11:26:10 +08:00

搜索： SQL 注入

or2me

2015-08-31 11:34:50 +08:00

常规的 SQL 注入，任意上传， XSS 等等就不说了
电商比较容易出现的是平行越权，就是订单遍历，用户资料遍历之类的

logfile

2015-08-31 11:36:43 +08:00

1 、 armitage
2 、 kali linux &&metasploit

tabris17

2015-08-31 11:41:07 +08:00

sql 、 xss 、 csrf 等这些常规漏洞 ls 都说了

还有电商平台需要注意的是，订单和用户增量的保密，不要在前端和 url 里暴露用户和订单记录的自增 ID
如果有库存功能，注意库存访问会不会有数据一致性的问题

letitbesqzr

2015-08-31 11:42:24 +08:00

有一点想说的，千万别拿自增 id 当订单 id ... 别人一看就了解你网站到底有多少订单，分析下就知道你网站每天多少订单了。

ivmm

2015-08-31 12:31:08 +08:00

各种流氓检测用一下

lufyluo

2015-08-31 13:14:32 +08:00

@bball 感谢， sql 注入我已经注意了，但是我不知道有没有高深手段能瞒过我的处理机制，目前我处理是有个全局安全检测， sql 语句的 and 和 or 等关键字不能从前台传入，只能我后台拼接。还有其他可以绕过我这个处理机制的吗？

lufyluo

2015-08-31 13:15:09 +08:00

@or2me 3Q ，量大，我慢慢一个一个撸

lufyluo

2015-08-31 13:15:51 +08:00

@tabris17 3Q ，已经记录在案

lufyluo

2015-08-31 13:16:38 +08:00

@letitbesqzr 嗯， 3Q ，这个我们已经规避

tabris17

2015-08-31 13:20:13 +08:00

@lufyluo 对于你这种方法我只能表示“呵呵”

iyaozhen

2015-08-31 13:47:45 +08:00

@lufyluo 你后台还在拼接的话肯定不行。

电商的话需要更加关注数据一致性、事务等。

lufyluo

2015-08-31 14:32:20 +08:00

@tabris17
@iyaozhen 小弟先感谢了，我这样是为了杜绝注入，能详细讲下我这样的弊端吗？

ljbha007

2015-08-31 14:37:35 +08:00

@lufyluo 有 mysql_real_escape_string 这样的东西为什么要自己过滤？

honkew

2015-08-31 15:00:21 +08:00

怎么不用 pdo

xifangczy

2015-08-31 15:06:00 +08:00

多去 wooyun 逛逛搜 ecshop 之类看看有没有犯同样的错误。

lufyluo

2015-08-31 15:24:02 +08:00

@ljbha007 对对！感谢感谢，我嫩鸟 PHP

lufyluo

2015-08-31 15:24:57 +08:00

@xifangczy 3Q ，已去

shuimugan

2015-08-31 16:24:48 +08:00

逻辑上的:
负数金额购买
充值回调时并发,可能导致充一次钱,实际上给账户加了几次

wapy

2015-08-31 17:36:35 +08:00

sql ， xss 上传
平行权限垂直权限
订单遍历等信息泄露
金额校验，运费是否能为负

ByZHkc3

2015-08-31 19:12:34 +08:00 via Android

建议去乌云知识库看看

Felldeadbird

2015-08-31 21:32:48 +08:00

@lufyluo sql 语句的 and 和 or 等关键字不能从前台传入不要在用这种老旧的过滤规则了。把系统数据库链接换 mysqli 或者 PDO 吧。预处理彻底阻止注入的漏洞。这种规则你会发现很多敏感关键词的。
楼上好像没人说到图片木马方面的。

ys0290

2015-09-01 08:07:14 +08:00 via iPhone

@letitbesqzr 请问有什么办法可以不拿自增 id 做订单 id ？

letitbesqzr

2015-09-01 09:19:45 +08:00

@ys0290 uuid

lufyluo

2015-09-01 09:49:20 +08:00

@shuimugan
@wapy
@ByZHkc3

感谢感谢，

lufyluo

2015-09-01 09:49:32 +08:00

@Felldeadbird 非常感谢

niliu

2015-09-01 14:47:00 +08:00

当你觉得你的网站安全没有问题了，可以来乌云众测看看。 http://ce.wooyun.org
@lufyluo

lufyluo

2015-09-01 15:43:04 +08:00

@niliu 你好！我们用 360 扫的，这个行吗？

niliu

2015-09-01 16:17:15 +08:00

@lufyluo 我只能说一个扫描器能发现的问题太有限了，更何况 xxx 你懂得。看你们对安全还是挺重视，如果想全面的检查一下网站业务安全问题，我还是强烈建议去乌云众测，我大概描述一下吧：参与众测项目的都是乌云平台的顶尖白帽子，大概 20-30 人不等，全部手工测试，不用担心扫描器影响业务而且漏洞质量很高，数量很多。而且乌云的白帽子非常有节操。。 PS:这并不是广告，这是一个乌云白帽子的心声！对了，你还可以去了解一下唐朝安全巡检 www.tangscan.com ，由乌云社区众多安全研究人员维护的企业在线安全平台。

niliu

2015-09-01 16:17:36 +08:00

@or2me 娃娃你好伟大！