随着电商行业蓬勃发展,电商平台的安全需求越来越高。丰富的个人信息和资金吸引了众多攻击者。因而对电商网站的攻击事态不断加剧,新闻、媒介、反诈骗网站关于电商攻击诈骗播报不断,电商平台安全面临着严重的考验。

业务场景

电商行业现状

2016年第三季度,某网站安全检测平台共扫描各类网站111.1万个,其中,存在安全漏洞的网站为46.3万个,占扫描网站总数的41.6%。其中,存在高危安全漏洞的网站共有4.4万个,占扫描网站总数的4.0%,从行业看,电商类网站存在高危的比例最高,约占其四分之一。

在企业运作中,IoT的出现起到了重要作用,也引领着技术发展潮流

漏洞统计:目前电商平台常遇到的安全问题有SQL注入、逻辑漏洞、口令重置、XSS、跨站请求伪造,其中逻辑漏洞所占比例最大,达30%,如图:

业务逻辑漏洞:一种业务逻辑上的设计缺陷,业务流程中存在的问题。

以小买大:在支付时直接修改数据包中的支付金额,实现小金额购买大金额商品。

实现0付款:修改购买数量,使之为负数,可购买负数量商品,从而扣除负积分,即增加积分,或使购买数量无限大,无限大时则程序可能处理出错,从而实现0金额支付。

请求重放:在购买成功后重放请求,可实现“一次购买对此收货”。以及绕过第三方校验、支付前随意更改单价等一系列业务逻辑漏洞。

业务数据篡改:服务器仅在通过JS脚本限制,没有对订单进行合理校验,从而对订单中金额、数量、手机号、用户ID、商品编号。其他业务进行篡改,造成严重的经济损失。

业务越权查看:用户在没有认识授权的情况下,直接访问需要认证的网页或文本信息,进行对其相关内容进行增、删、改、查操作,造成数据丢失、订单信息篡改等,使数据失去其可用性、保密性和完整性。

解决方案 连接全球顶尖安全专家,着力打造高效、透明、最佳服务的互联网安全测试平台,成为电商行里值得信赖的安全守护神。

电商的业务逻辑复杂是程序员相当头疼的事情,往往系统会存在一些意想不到的漏洞,而我们拥有探测这些漏洞的经验优势,尤其是业务+支付等重要环节安全不容忽视。

1、独特的测试模式

自有来自安全领域影响力颇深的各大安全厂商组成的核心“猛犸”团队,拥有丰富的实战经验,保障输出高质量的测试服务。此外,我们的众测平台由来自全球顶尖的安全专家约2万白帽子组成;两者相结合的测试模式全方位检测,保障您的信息安全。

2、传统安全技术+多角度安全测试

采用最资深的技术人员配合高效的测试工具,对目标客户进行全方位的安全渗透测试服务。运用白盒(模拟客户组织内部雇员的越权操作和预防万一组织重要信息泄露,网络黑客能利用这些信息对组织构成的危害)、黑盒(渗透测试工程师处于对系统一无所知的状态,完全模仿黑客攻击行为进行安全测试,更具实战性地进行安全检测)模式的测试方式,多角度进行安全渗透测试,真正实现全方位、无死角人机完美结合的测试模式。

对常见的任意文件读取、身份认证与授权、口令破解、数据输入/输出验证、XSS、SQL注入,订单信息篡改等方面的安全漏洞无所遁形。

3、涉猎复杂的业务场景

支付业务

交易数据泄漏、越权查询订单信息、修改支付金额、订单数据篡改等攻击;这种支付接口对接时不应该接收前端页面关于订单的信息,其次对接支付接口的时候,没有进行有效的同步异步校验。而漏洞盒子长期致力于电商安全领域,通过多角度的测试方式,进行安全检测。

涉猎区域:业务逻辑检测、支付安全接口、安全校验等。

移动APP应用漏洞

账户密码重置、明文传输、无消息完整性校验,导致的恶意交易、数据篡改、终端数据泄漏等高危风险行为。

电商安全领域出现漏洞最多也是最严重的是移动APP应用漏洞,漏洞盒子通过先进的系统全方位的分析结合丰富的渗透技术保障相关产品在应用领域的安全性。

涉猎区域:OWASP TOP10、CWE TOP25、明文传输、弱口令、安全校验、身份认证等。

4、透明、高效的管理

一站式服务模式,渗透测试全流程透明化,实时监控测试进程;

明确测试范围准线、不越雷池半步,严格遵守保密协议;

参测人员实名认证,VPN、堡垒机流量监控,资深安全技术、严格保障机制;

5、全新服务理念、让实力说话

拥有无可比拟的服务质量与体验,完全做到按效果付费。无漏洞,不收费!