值得注意的是,大型團(tuán)購網(wǎng)站的安全狀況明顯強(qiáng)于行業(yè)平均水平。此次360網(wǎng)站安全檢測平臺一共檢測了8家月度用戶數(shù)在500萬以上的大型團(tuán)購網(wǎng)站(據(jù)艾瑞統(tǒng)計數(shù)據(jù))����,存在高危漏洞、嚴(yán)重漏洞和警告漏洞的網(wǎng)站比例分別是25.0%���、12.5%和25.0%�����。然而由于黑客往往選擇大網(wǎng)站作為攻擊目標(biāo)��,例如通過SQL注入漏洞竊取用戶數(shù)據(jù)庫��,因此大型團(tuán)購網(wǎng)站更應(yīng)重視安全防護(hù)����。
另據(jù)統(tǒng)計,在360網(wǎng)站安全檢測平臺協(xié)助各團(tuán)購網(wǎng)站修復(fù)漏洞之前����,僅16家網(wǎng)站完全不存在明顯漏洞,所占比例只有5.5%�。
注:根據(jù)漏洞風(fēng)險程度及其被黑客利用的可能性,360網(wǎng)站安全檢測平臺將網(wǎng)站漏洞分為高危�、嚴(yán)重、警告�、提示等四個級別,主要包括下列22種具體漏洞類型:
(二)國內(nèi)團(tuán)購網(wǎng)站常見漏洞TOP10統(tǒng)計
360針對289家團(tuán)購網(wǎng)站的檢測發(fā)現(xiàn)���,國內(nèi)團(tuán)購網(wǎng)站中最常見的漏洞是跨站腳本漏洞��,共177家網(wǎng)站出現(xiàn)了426個跨站腳本漏洞;危害最嚴(yán)重的則是SQL注入漏洞��,共56家網(wǎng)站存在139個SQL注入漏洞���。
以下是一個跨站腳本漏洞示例:
以下是一個SQL注入漏洞示例:
根據(jù)漏洞出現(xiàn)的網(wǎng)站比例排序,國內(nèi)團(tuán)購網(wǎng)站常見漏洞TOP10統(tǒng)計如下:
需要特別指出的是��,41.5%的團(tuán)購網(wǎng)站存在團(tuán)購程序漏洞,具體為“最土”��、“天天團(tuán)購”程序UC接口uc_key未初始化漏洞���,占所有使用“最 土”���、“天天團(tuán)購”程序的網(wǎng)站比例為64.4%�����。究其原因�,說明國內(nèi)多數(shù)團(tuán)購網(wǎng)站安全意識欠缺,忽視了升級團(tuán)購程序版本來修復(fù)漏洞�����。而且該漏洞的危害也非 常大���,可能導(dǎo)致黑客無需密碼就以網(wǎng)站管理員身份登錄�,或隨意登錄其他用戶的帳號(在獲取他人帳號名的情況下)�����,篡改網(wǎng)站內(nèi)容或竊取他人的消費憑據(jù)。
(三)典型的團(tuán)購網(wǎng)站安全檢測報告示例
以360網(wǎng)站安全檢測平臺針對某團(tuán)購網(wǎng)站的檢測報告為例��,說明網(wǎng)站漏洞情況和處理方案:
經(jīng)某團(tuán)購網(wǎng)站授權(quán)��,360網(wǎng)站安全檢測平臺在9月17日掃描發(fā)現(xiàn)該網(wǎng)站存在30個漏洞�����,包括4個高危級別漏洞�、17個警告級別漏洞,以及9個提示級別漏洞;
具體漏洞描述和修復(fù)建議如以下例所示:
第二章 團(tuán)購網(wǎng)站漏洞會導(dǎo)致哪些風(fēng)險
由于網(wǎng)站漏洞的觸發(fā)需要特定的場景,在黑客針對網(wǎng)站的實際攻擊行為中�����,通常會組合利用多種不同類型的漏洞���,包括運用社會工程學(xué)手段�、弱口令破解等方式����,達(dá)到其入侵和滲透目的�����。
比如高危級別的“SQL注入漏洞”和警告級別的“本地路徑暴露”��,如果有網(wǎng)站同時存在這兩個漏洞�,黑客就有可能在網(wǎng)站服務(wù)器上運行腳本后門程序��,隨 意篡改網(wǎng)站內(nèi)容;如果服務(wù)器操作系統(tǒng)又存在本地提權(quán)漏洞,黑客又可以利用漏洞使腳本后門獲得系統(tǒng)最高權(quán)限���,這意味著網(wǎng)站服務(wù)器的硬盤也可能被黑客格式化。
下文將以漏洞影響為依據(jù)�,分析哪些具體的團(tuán)購業(yè)務(wù)可能受到網(wǎng)站漏洞的威脅����。
(一)用戶密碼和消費憑據(jù)泄露
在團(tuán)購網(wǎng)站漏洞中����,SQL注入漏洞是目前影響最大的漏洞之一���。利用該漏洞,黑客可能讀取網(wǎng)站數(shù)據(jù)庫�,獲得注冊用戶的帳號和密碼���。此前有微博傳言稱���,國內(nèi)某團(tuán)購網(wǎng)站用戶數(shù)據(jù)庫被黑客“刷庫”�����。由于19.4%的團(tuán)購網(wǎng)站存在SQL注入漏洞�,這種風(fēng)險確實存在�。
更為嚴(yán)重的是����,團(tuán)購網(wǎng)站的帳號和密碼通常是網(wǎng)民的常用郵箱和密碼��。這類用戶數(shù)據(jù)如果泄露�����,很可能被黑客利用在網(wǎng)上支付平臺進(jìn)行試探�����,如果恰好有人在網(wǎng)上支付平臺和團(tuán)購網(wǎng)站使用了相同的注冊郵箱和密碼�����,網(wǎng)上支付賬戶的余額就會被黑客盜取�����。
因此對于團(tuán)購網(wǎng)站來說�,不僅需要修復(fù)網(wǎng)站漏洞,還應(yīng)對重要的用戶數(shù)據(jù)進(jìn)行加密處理����,降低用戶蒙受損失的風(fēng)險;對網(wǎng)民來說�����,則應(yīng)避免使用同一套帳號密碼��,而是要按照帳號重要程度對密碼進(jìn)行分級管理。
另一項不容忽視的風(fēng)險是�����,有些網(wǎng)站漏洞一旦被黑客利用,可使黑客登錄他人的團(tuán)購帳號��,例如團(tuán)購程序漏洞�����、跨站腳本漏洞�����、CRLF注入HTTP響應(yīng)拆 分漏洞等。我們知道��,團(tuán)購商品包括許多本地化的消費���,例如餐飲�、電影票等�����,只需憑團(tuán)購券號即可消費�����,這些消費憑據(jù)泄露的可能性也同樣存在���。
(二)團(tuán)購內(nèi)容被篡改
在熱衷于攻擊網(wǎng)站的黑客群體中��,部分黑客習(xí)慣篡改網(wǎng)頁,留下入侵標(biāo)識進(jìn)行炫耀�����。在搜索引擎搜索hacked by ,僅中文網(wǎng)頁的搜索結(jié)果就有數(shù)十萬條���。
對于團(tuán)購網(wǎng)站來說�����,如果網(wǎng)頁被黑客篡改�����,其結(jié)果將嚴(yán)重影響用戶對交易安全的信任感,造成客戶流失;此外��,團(tuán)購網(wǎng)站頁面內(nèi)容和業(yè)務(wù)關(guān)聯(lián)緊密���,如果商品頁面信息����、甚至商品價格被他人惡意篡改,比如價值100元的商品被黑客惡作劇式修改為1元��,可想而知將會造成巨大的經(jīng)濟(jì)損失�����。
在不同類型網(wǎng)站漏洞中�,黑客利用SQL注入漏洞�、團(tuán)購程序漏洞��、目錄的寫權(quán)限啟用、PUT方法啟用等多種漏洞或不同漏洞的組合攻擊����,都可能造成團(tuán)購網(wǎng)站內(nèi)容被篡改的后果�。
(三)團(tuán)購網(wǎng)站被利用釣魚或被惡意控制
在利用團(tuán)購網(wǎng)站漏洞的釣魚攻擊中�,跨站腳本漏洞和CRLF注入HTTP響應(yīng)拆分漏洞非常典型��。舉例說明:
某天你在泡論壇���,看到有篇帖子推薦了一款團(tuán)購商品,價格令人動心�����,而且網(wǎng)址域名是你熟悉的一家團(tuán)購網(wǎng)站��。當(dāng)你點擊鏈接打開網(wǎng)頁���,網(wǎng)頁表面看起來也和 你熟悉的那家團(tuán)購網(wǎng)站一模一樣��。請注意����,這時頁面可能已經(jīng)執(zhí)行了惡意腳本����,在你面前打開的是黑客仿冒構(gòu)造的一個釣魚頁面(跨站腳本漏洞);或者���,網(wǎng)址悄然 重定向跳轉(zhuǎn)到釣魚網(wǎng)站上,讓你不知不覺間就從A網(wǎng)站來到黑客的B網(wǎng)站(CRLF注入HTTP響應(yīng)拆分漏洞)�。
如果通過此類釣魚頁面進(jìn)行支付交易,交易資金很可能被黑客劫持�����,甚至網(wǎng)銀����、網(wǎng)上支付的賬戶密碼也被黑客竊取。
另外�����,曾有技術(shù)人員曝光稱�,某團(tuán)購網(wǎng)站的VIP會員活動、砸金蛋活動����,甚至賬戶余額充值多次出現(xiàn)程序的用戶交互漏洞,可以繞過權(quán)限驗證隨意領(lǐng)紅包�����、無限砸金蛋和充值。與此相比�,黑客利用網(wǎng)站漏洞實施滲透控制的后果更為嚴(yán)重。
例如�����,當(dāng)團(tuán)購網(wǎng)站服務(wù)器被黑客利用漏洞植入腳本后門�����,黑客可獲得控制網(wǎng)站的權(quán)限�����,更進(jìn)一步還可獲得網(wǎng)站服務(wù)器系統(tǒng)的高級權(quán)限�。這意味著��,團(tuán)購網(wǎng)站的各種交易��、活動均可能被他人暗中操縱�,而不僅僅是領(lǐng)紅包、砸金蛋或賬戶充值����,團(tuán)購網(wǎng)站的所有資料�、數(shù)據(jù)也可能被隨時摧毀�。
第三章 提高團(tuán)購網(wǎng)站安全性的解決方案
對團(tuán)購網(wǎng)站等電子商務(wù)平臺而言,網(wǎng)站安全是一個綜合性多元化問題���,包括系統(tǒng)安全����、數(shù)據(jù)安全����、交易平臺安全等,全方位解決安全問題需要完善的管理機(jī)制和專業(yè)技術(shù)保障�。360網(wǎng)站安全檢測平臺建議,團(tuán)購網(wǎng)站應(yīng)該從以下三個方面提升網(wǎng)站的安全性:
(一)強(qiáng)化網(wǎng)站安全意識
1.由專業(yè)技術(shù)人員進(jìn)行安全維護(hù)
安全對電子商務(wù)運營的重要性不言而喻�,有些團(tuán)購網(wǎng)站的WEB程序是外包開發(fā)的,而且網(wǎng)站程序的開發(fā)人員沒有安全編程經(jīng)驗�����,極易造成各種漏洞�����。
2.及時為服務(wù)器操作系統(tǒng)和網(wǎng)站程序打好補丁
有些網(wǎng)站使用版本陳舊的程序,服務(wù)器操作系統(tǒng)也不注意更新補丁��,存在大量廣為人知的漏洞���,當(dāng)然會輕易被黑客利用入侵�����,成為傀儡主機(jī)���。
3.嚴(yán)謹(jǐn)?shù)臏y試流程
在任何網(wǎng)站應(yīng)用上線前����,都應(yīng)從安全角度進(jìn)行測試���,去除不必要的風(fēng)險因素。在用戶交互環(huán)節(jié)�,更應(yīng)注意控制權(quán)限,過濾可能出現(xiàn)的威脅�。
(二)定期進(jìn)行網(wǎng)站安全檢測
一些網(wǎng)站管理者認(rèn)為,“在網(wǎng)絡(luò)中不斷部署防火墻����、入侵檢測系統(tǒng)����、入侵防御系統(tǒng)等設(shè)備,就可以提高網(wǎng)絡(luò)的安全性”��。其實這樣的認(rèn)識存在誤區(qū)��,根本原因在于�����,傳統(tǒng)的網(wǎng)絡(luò)安全設(shè)備難以抵御應(yīng)用層的攻擊����,最有效的網(wǎng)站安全解決方案是修復(fù)漏洞����。
在網(wǎng)站安全檢測方面�����,360網(wǎng)站安全檢測平臺提供了集“漏洞檢測”、“掛馬檢測”和“篡改檢測”于一體的一站式免費服務(wù)平臺��,擁有國內(nèi)最全的網(wǎng)站漏洞檢測庫及強(qiáng)大的蜜罐集群檢測系統(tǒng)�,并可在第一時間為高危0day漏洞提供修復(fù)建議���。
(三)實時監(jiān)控網(wǎng)站安全狀況
網(wǎng)站被掛馬或篡改����,不僅會降低用戶對其的信任度��,更嚴(yán)重危害網(wǎng)絡(luò)安全或造成不良影響。此外��,360網(wǎng)站安全檢測平臺提供了實時的掛馬監(jiān)控和篡改監(jiān)控功能�,一旦發(fā)現(xiàn)網(wǎng)站被掛馬或被篡改���,能夠自動以郵件等方式通知站長����,將網(wǎng)站蒙受損失的風(fēng)險降到最低。
