电子商务网站安全测试项目应用.docx

:..--------------------------校验:_____________-----------------------日期:_____________电子商务网站安全测试项目应用电子商务网站安全测试项目-应用漏洞名称漏洞类型漏洞危害描述解决方案或建议交易撤销缺陷功能缺陷某些机构系统没有交易撤销功能,会导致用户误操作后,在日结之前,无法将操作取消。建议加上交易撤销功能。界面数据项校验缺陷功能缺陷某些机构系统对一些界面数据项没有做长度和字符的严格校验,可能会导致用户输入错误。建议对界面数据项做严格校验。未设置交易限额风险监控漏洞未设置单笔、单日的交易限额,可能支付平台被利用进行套现、洗钱等违法金融活动。建议设置与交易限额、日交易量相关的风控规则。登录提示信息中可能泄露信息网络设备安全漏洞登录提示信息中可能泄露信息。建议修改登录提示信息,避免信息泄露。连续错误登陆多次未自动锁定帐号码主流操作系统漏洞当某用户账号连续三次(或有限的次数)登录失败,系统安全策略应锁定此账号,以防止该用户账号的密码被暴力猜解。设置登录失败自动锁定策略。ActiveX控件漏洞主流操作系统漏洞入侵者利用应用系统存在的ActiveX控件漏洞,可能造成入侵者利用ActiveX进行网页***、读取注册表,访问本地文件系统等。1、对ActiveX控件进行源代码审查与渗透测试,以避免缓冲区溢出之类的漏洞。2、要求提交给ActiveX控件的所有参数使用加密签名验证,避免未授权的域尝试调用这些控件。本地缓存攻击主流操作系统漏洞入侵者利用应用系统存在的本地缓存攻击漏洞,可能造成入侵者绕过安全限制,获得敏感信息或破坏WEB缓存文件。1、通过在HTTP报头或HTML标签中添加Cache-Control等参数阻止浏览器缓存页面。2、plete="off"属性。样例数据库没有删除主流操作系统漏洞MySQL存在样例数据库,用于示范功能和测试服务器。在上线系统中建议删除样例数据库,这样,可以减少新弱点被利用的风险。例如:一个新的弱点要求必须有对视图作查询的能力,则样例数据库中的任一个视图都能被用户利用。如果删除了样例数据库,攻击者需查询其它的视图,这将增加攻击的难度。从产品系统中删除两个样本数据库。未设置使用SSL主流操作系统漏洞当敏感信息在非信任网络传输时,建议使用SSL保护其一致性和完整性。建议使用SSL保证传输内容安全。重复支付应用安全漏洞由于支付系统的设计缺陷,导致可对同一商品订单采用同一卡/帐户或不同的卡/帐户重复进行支付,包括客户无意的或者代理操作人员恶意的,对客户造成经济利益损害。对每笔订单进行控制,在进行支付操作时,检查该订单的支付情况,对于支付异常的情况进行回退操作;如己支付成功,进行支付成功提示并拒绝再次支付。不安全的直接对象访问应用安全漏洞服务器上具体文件名、路径或数据库关键字等内部资源被暴露在URL或网页中,攻击者可以此来尝试直接访问其他资源。主要防范措施:;;,设置访问权限;,拒绝包含./或../的请求。URL访问限