随着电商行业蓬勃生长,电商平台的安然需求愈来愈高。丰富的小我信息和资金吸引了浩大进击者。因此对电商网站的进击局势赓续加重,消息、序文、反欺骗网站关于电商进击欺骗播报赓续,电商平台安然面对着严重的考验。

行业近况

2016年全年中,马脚盒子安然平台共收到各类网站马脚5万多个,共收取到的电商行业的安然马脚1.6万多个,占全年马脚总数的30%多。个中,存在营业逻辑安然马脚的网站共有4.4千个,占全部营业逻辑马脚总数的40%阁下,所以从电商行业来看,今朝营业逻辑马脚出现明显上升趋势,约占其四分之一。--数据来源-马脚盒子,截止2017年2月

马脚类型比例:今朝马脚盒子平台搜集到的电商行业马脚种类单一,包含有SQL注入、验证码绕过、暗码重置、XSS、跨站请求捏造等,个中营业逻辑马脚所占比例最大年夜,如图

营业逻辑马脚:一种营业逻辑上的设计缺点,所激起的营业流程安然成绩

以小买大年夜:在付出时直接修改数据包中的付出金额,完成小金额购买大年夜金额商品

完成0付款:修改购买数量,使之为正数,可购买正数量商品,从而扣除负积分,即增长积分,或使购买数量无穷大年夜,无穷大年夜时则法式榜样能够处理掉足,从而完成0金额付出

请求重放:在购买成功后重放请求,可完成“一次购买屡次收货”。和绕过第三方校验、付出前随便更改单价等一系列营业逻辑成绩

营业数据修改:办事器仅在经过过程JS脚本限制,没有对订单停止公道校验,从而对订单中金额、数量、手机号、用户ID、商品编号。其它营业停止修改,形成严重的经济损掉

营业越权检查:用户在没有认证授权的情况下,直接拜访须要认证的网页或文本信息,并停止增、删、改、查操作,形成数据损掉、订单信息修改等,使数据掉去机密性和完全性

营业场景建模分析:马脚盒子连接全球顶尖安然专家,以专业的视角分析电商平台营业模型、为电商行业打造高效、透明的互联网安然测试办事

电商的营业逻辑复杂是法式榜样员相当头疼的任务,常常体系会存在一些意想不到的马脚,而我们具有探测这些马脚的经历优势,特别是营业+付出等重要环节安然不容忽视。

1、WEB端模块测试:

登录模块:登录认证有效性、用户名暗码明文存储、验证码绕过、暴力破解

商户模块:购物车模块权限测试(检查、收藏、删除、修改等越权)、订单CSRF漏测试

结算模块:小我信息权限测试(检查、删除、修改等越权)、SQL注入型测试、跨站挂马测试

付出模块:银行付出网关测试(积分、金钱、订单号等信息)、商品数量、价格、积分数有效性测试

订单模块:恶意评价测试(跨站进击、刷单评价)、订单越权测试(检查、删除、修改等越权)

2、APP端模块测试

登录模块:SQLite明文存储、逆向分析(反编译、反汇编、静态分析)、APP上岸不安然加密算 法、Actiyity劫持、上岸凭证盗取

传输模块:敏感信息明文传输、弱加密传输、有效SSL证书、中心人劫持、请求与照应完全性考验

付出模块:订单越权查询、订单用户信息泄漏、表单SQL注入、XSS进击、付出金额修改、积分逻辑成绩 、恶意评价商品、恶意刷单,订单删除和修改、付出请求并发测试、修改正常付出营业流程、外挂抢红包

风险管理:

1、技巧角度限制:

1、VPN-同一流量审计;

2、堡垒机-测试过程行动监控;

3、平台内置工单处理机制-第一时间停止马脚处理,用待处理、工单中、已修复、已忽视等状况来肯定马脚的真实性。

2、人员管理角度限制:

1、平台白帽子严格等级划分制度;

2、测试团队组建:自有测试团队(30%)+核心白帽子团队(70%)。供给10~50名测试人员,详细数量可根据企业需求调剂。

3、项目管理角度限制:

1、实名挂号 ,包含身份证、接洽方法、银行卡账号等信息;

2、照应奖罚制度关于背规者有严格的惩办办法;

3、记录参与项目白帽子信息,包含IP,称号,时间等,和内置即时聊天对象可以很好的和白帽子沟通。

成果输入:企业在马脚盒子参与测试以后,将取得完全的马脚申报。申报中包含详细的测试成果数据、马脚信息、安然评级、马脚状况等:

1、平台可以或许对测试成果数据停止在线分析,可以或许根据端口、马脚称号、IP地址等关键字对测试成果停止查询并能将查询成果保存

2、支撑高等数据分析,可以或许停止汗青数据查询、汇总检查、比较分析等

3、测试申报供给在线浏览申报和离线打印申报;离线报表供给针对不合角色的默许模板,许可用户定制申报的内容、申报的格局等

4、离线申报可以输入到HTML、WORD、EXCEL(XML)等文件,申报可以直接下载或经过过程邮件直接发送给照应管理人员,并且输入报表美不雅可直接打印

5、报表中综述、马脚、马脚级别、马脚分类、测试人员(提交者)等信息停止分类显示

成功案例



商务咨询:400-156-9866
商务邮箱:mkt@vulbox.com

德律风办事(周一至周五 早9:00–18:00)