電子商務平臺滲透測試與信息安全對策范文
本站小編為你精心準備了電子商務平臺滲透測試與信息安全對策參考范文,愿這些范文能點燃您思維的火花,激發您的寫作靈感。歡迎深入閱讀并收藏。
摘要:本文針對電子商務平臺容易受到各類攻擊進行研究,給出具體應用策略。首先對電子商務平臺存在的漏洞進行研究分析,根據企業實際環境搭建虛擬仿真滲透測試環境,對電子商務平臺和服務器進行滲透測試,找到已知或未知漏洞,并給出漏洞解決方案和應對策略。
關鍵詞:電子商務平臺;滲透測試;安全策略
隨著5G時代的到來,網絡快速發展給人們的生活帶來極大的便利,電子商務平臺的快速發展極大得方便了人們的生活,我們可以足不出戶買到各類商品。電子商務研究中心《2017年度中國城市跨境電商發展報告》報告對全國13個跨境電商綜合試驗區城市進行分析,了解各城市發展現狀、政策措施、存在問題、發展建議等。蘇州是首批國家電子商務示范城市之一,自2016年1月獲批以來,蘇州跨境電商綜試區將發展跨境電商B2B出口作為業務發展的重中之重。蘇州電子商務平臺還與東盟“單一窗口”平臺成功聯調,出口B2B業務數據可直達東盟10國和印度等國。蘇州跨境電商綜試區線上綜合服務平臺正在探索打造全國特殊監管區域一般納稅人服務平臺、全國境外游客的退稅、跨境電子商務出口一站式平臺等延伸發展定位,拓展商業增值服務,其主要平臺包括:虎丘婚紗城、沃金網絡、蘇州婚紗定制網、破浪電商、雷盛網絡、阿拉丁等等。由于電商平臺快速發展,電子商務平臺信息安全越來越重要,如果不加強平臺信息安全管理,導致數據被竊取和篡改,會給企業和政府帶來巨大的經濟損失。本文針對蘇州電子商務平臺信息安全現狀進行研究分析,采用黑盒滲透測試對典型的電子商務網站進行滲透測試,從而找到電子商務平臺的漏洞,對其研究得到電子商務平臺信息安全應對策略,并可以將安全策略在其他同類電子商務平臺進行普及推廣應用。
1電子商務平臺信息安全現狀研究分析
電子商務平臺快速發展,也隨之帶來了電子商務平臺的網絡安全問題。網絡安全越來越受到人們重視,Web應用滲透攻擊在近些年來也是一個熱門話題,主要是因為通過Web攻擊,能夠獲取到更多有價值的信息。目前Web服務無處不在,如電子郵件、在線編輯文檔、在線購物、在線銀行等等,入侵這些應用系統不僅能夠體現攻擊手段,而且可以獲得更多的經濟利益。一旦電子商務平臺被黑客入侵,用戶購物信息就會被黑客竊取,會給企業和個人造成重大的經濟損失。通過對電子商務平臺信息安全的調研分析,目前電商平臺還是中小型企業居多,發展規模較小,電子商務平臺安全缺少專業技術人才,投入到網絡安全資金有限,主要存在以下幾個方面的問題:1)技術門檻低,對于攻擊者來說,Web攻擊技術相對傳統的操作攻擊技術而言簡單也更容易理解,隨著Web平臺不斷增加和流行,大多數Web應用幾乎不需要很多開發經驗就可以開發出來,程序存在漏洞相對比較多。2)防火墻可以輕松繞過,我們知道防火墻一般是允許流入方向的HTTP/HTTPS,因為允許客戶端訪問Web服務器來提供Web服務。這樣配置再好的防火墻對攻擊者來說,也是可以輕松繞過。3)攻擊入侵的隱蔽性,在互聯網上針對Web攻擊很多無法進行取證,在Web攻擊過程中,很多容易通過各種公開的HTTP發起攻擊,很難找到真正的攻擊者。4)Web應用的調整對于一個業務公司來說肯定是經常需要的,但是對于調整Web應用的開發人員,系統管理員來說,他們往往缺乏信息安全方面的專業知識,很難保證網絡信息安全策略的實施。5)由于電子商務平臺多是購物平臺,隨之而來也給攻擊者帶來利益,所以攻擊者多會通過各種欺騙手段如釣魚攻擊,拒絕服務攻擊等進行詐騙,從而獲得豐厚利潤。本文針對某電子商務平臺進行網站信息安全評估,利用黑盒測試技術,采用流行的攻擊技術與工具,有目標有步驟地進行逐步滲透與入侵,找到電商平臺中一些已知和未知的安全漏洞,評估這些漏洞可能對企業的電商平臺和業務造成的損失,給出電子商務平臺安全漏洞解決對策。
2電子商務平臺滲透測試研究
本文基于黑盒測試方法,模擬某企業真實環境搭建虛擬實驗環境進行測試,這樣的好處是不影響企業或公司網站正常運行維護,同時也不會把網站漏洞暴露在網絡上,非法使用入侵系統。根據某企業環境,搭建的滲透測試實驗環境拓撲結構如圖1所示。其中模擬真實網站環境是虛擬機Web服務器,模擬真實操作系統環境是虛擬機Linux和WinXP,模擬真實攻擊機器是KaliLinux。我們使用攻擊機器中的各種黑客常用工具,對目標Web服務器進行滲透測試找到已知或者未知漏洞,同時也對操作系統進行滲透測試,找到目標服務器可能存在各類漏洞和安全隱患。為了能夠搭建實驗環境,我們采用VMware虛擬化技術,支持一臺高性能PC中安裝若干臺虛擬機,實現滲透測試目標機器和攻擊機器,測試環境所需要的設備配置如表1所示。黑盒測試中利用OWASPBWA作為Web測試靶機,它匯集了大量已知安全漏洞實驗環境和真實Web應用程序,配置各種漏洞的web應用程序,可以進行滲透測試,同時由于采用PHP開放源碼方式,也方便進行Web服務器加固,得到安全策略。LinuxMetasploitable靶機包含一些存在安全漏洞的軟件包,如Sama、Tomcat5.5、Mysql以及弱口令漏洞等,用于測試服務器操作系統安全性。通過模擬真實網絡環境進行黑盒測試,當前電商平臺普遍存在的安全漏洞主要有以下幾個方面:SQL注入就是在輸入字符串中嵌入SQL指令,在設計程序中忽略對特殊字符串的檢查,這些嵌入的指令會被誤認為正常的SQL指令,在數據庫中執行,因此可以對后臺數據庫進行查看,甚至破壞后臺數據庫造成嚴重后果。SQL注入是發生在Web應用對后臺數據庫查詢語句處理存在的安全漏洞,由于幾乎所有的電商平臺都使用數據庫存放數據,數據庫語句漏洞直接影響平臺安全性。2)跨站腳本攻擊跨站腳本攻擊是一種網站應用中常見的攻擊方式,它允許惡意使用者將程序代碼注入網頁上,其他使用者在瀏覽網頁的時候就會受到不同程度的影響,這類攻擊一般含HTML語言以及目標主機的腳本語言。電子商務平臺一般給用戶提供留言和反饋功能,如果沒有對用戶輸入內容進行嚴格的過濾直接提交就會導致跨站腳本攻擊。3)跨站偽造請求跨站偽造請求,屬于跨站腳本漏洞的一種衍生,攻擊者用XSS注入方式注入一段腳本,當受害者點擊瀏覽器運行該腳本時,腳本偽造受害者發送一個合法請求。該請求就好像是被攻擊者自己發送一樣,攻擊者就達到了偽造請求的目的。4)文件包含漏洞文件包含函數加載的參數沒有經過過濾或者嚴格的定義,可以被用戶控制,包含其他惡意文件,導致了執行了非預期的代碼。PHP的配置文件allow_url_fopen和allow_url_include設置為ON,include/require等包含函數可以加載遠程文件,如果遠程文件沒經過嚴格的過濾,導致了執行惡意文件的代碼,文件包含漏洞普遍存在電子商務網站。5)文件上傳漏洞文件上傳漏洞是指由于程序員在對用戶文件上傳部分的控制不足或者處理缺陷,而導致的用戶可以越過其本身權限向服務器上上傳可執行的動態腳本文件。這里上傳的文件可以是木馬,病毒,惡意腳本或者WebShell等。這種攻擊方式是最為直接和有效的,“文件上傳”本身沒有問題,有問題的是文件上傳后,服務器怎么處理、解釋文件。如果服務器的處理邏輯做的不夠安全,則會導致嚴重的后果。6)不安全密碼存儲Web應用程序中資料加密存儲方式較為簡單,加密算法強度較弱,如果使用不適當的密碼算法或者配置不當,就會造成密碼泄露。一般管理密碼以及數據庫密碼為了方便管理和使用,都使用默認密碼而不修改,利用一些滲透攻擊模塊如user⁃map_script等就可以對ssh服務進行弱口令暴力破解,從而拿到遠程主機的訪問權限。
3電子商務平臺信息安全策略研究
通過模擬真實環境滲透測試,找到電子商務平臺普遍存在的安全漏洞和安全隱患,為了保證各類電子商務平臺的信息安全,我們從以下幾個方面進行風險評估和漏洞解決對策。
3.1SQL注入漏洞
在網站的程序代碼里,有很多用戶需要提交的參數值,比如get、post的數據提交時,程序員沒有對其進行詳細的安全過濾,導致可以直接執行SQL語句,在提交的參數里,可以摻入一些惡意的sql語句命令,比如查詢admin的賬號密碼,查詢數據庫的版本,以及查詢用戶的賬號密碼,執行寫入一句話木馬到數據庫配置文件,執行系統命令提權等等。SQL注入漏洞修復主要對策是程序代碼里的所有查詢語句,使用標準化的數據庫查詢語句API接口,設定語句的參數進行過濾一些非法的字符,防止用戶輸入惡意的字符傳入到數據庫中執行sql語句。對戶提交的參數安全過濾,像一些特殊的字符(,()*&……%#等等)進行字符轉義操作,以及編碼的安全轉換。網站的代碼層編碼盡量統一,建議使用utf8編碼,如果代碼里的編碼都不一樣,會導致一些過濾被直接繞過。網站的數據類型,必須確定,是數字型,就是數字型,字符型就是字符型,數據庫里的存儲字段類型也設置為ini型。對用戶的操作權限進行安全限制,普通用戶只給普通權限,管理員后臺的操作權限要放開,盡量減少對數據庫的惡意攻擊。網站的報錯信息盡量不要返回給客戶端,比如一些字符錯誤,數據庫的錯誤信息,盡可能地防止泄露給客戶端。
3.2跨站腳本漏洞
跨站腳本攻擊之所以會發生,是因為用戶輸入的數據變成了代碼。所以我們需要對用戶輸入的數據進行HTMLEncode處理,將其中的"中括號"、“單引號”、“引號”之類的特殊字符進行編碼,同時將重要的cookie標記為httponly,這樣的話Javas⁃cript中的document.cookie語句就不能獲取到cookie值。
3.3跨站偽造請求漏洞
跨站請求偽造漏洞修補對策為:1)驗證httpreferer字段,根據HTTP協議,在HTTP頭中有一個字段叫Referer,它記錄了該HTTP請求的來源地址。在通常情況下,訪問一個安全受限頁面的請求必須來自同一個網站。2)在請求地址中添加token并驗證,CSRF攻擊之所以能夠成功,是因為攻擊者可以偽造用戶的請求,該請求中所有的用戶驗證信息都存在于cookie中,因此攻擊者可以在不知道這些驗證信息的情況下直接利用用戶自己的cookie進行安全驗證。所以,抵御CSRF攻擊的關鍵在于在請求中放入攻擊者所不能偽造的信息,并且該信息不存在于cookie中。因此,可以在http請求中以參數的形式加入一個隨機產生的token,并在服務器建立一個攔截器來驗證這個token,如果請求中沒有token或者token內容不正確,則認為可能是CSRF攻擊而拒絕該請求。3)在http頭中自定義屬性并驗證,自定義屬性的方法也是使用token并進行驗證,和前一種方法不同的是,不是把token以參數的形式置于http請求中,而是把它放在http頭中自定義的屬性中。通過XMLHttpRequest這個類,可以一次性給所有該類請求加上csrftoken這個http頭屬性,并把token放入其中。這樣解決了前一種方法在請求中加入token的不便,同時,通過這個類請求的地址不會被記錄到瀏覽器的地址欄,也不用擔心token會通過referer泄露網站地址。
3.4文件包含漏洞
文件包含函數加載的參數沒有經過過濾或者嚴格定義,可以被用戶控制,包含了其他惡意文件,導致執行了非預期的代碼。PHP中可使用open_basedir配置限制訪問限制在指定的區域,過濾.(點)/(反斜杠)\(斜杠),限制服務器遠程文件包含等策略修補文件包含漏洞。
3.5文件上傳漏洞
文件上傳漏洞應對策略可以檢查擴展名,在文件被上傳到服務端的時候,對于文件名的擴展名進行檢查,如果不合法,則拒絕這次上傳,在檢查擴展名是否合法的時候,有兩種策略:黑名單策略,文件擴展名在黑名單中的為不合法,白名單策略,文件擴展名不在白名單中的均為不合法。白名單策略是更加安全的,通過限制上傳類型為只有我們接受的類型,可以較好地保證安全,因為黑名單我們可以使用各種方法來進行注入和突破。
3.6不安全密碼存儲
針對電子商務平臺弱口令問題,網站維護及管理人員應該做到,登陸網站后臺頁面的賬戶密碼應該經過加密算法處理后再保存到數據庫中。數據庫的連接密碼務必要修改,特別是Mysql數據,默認用戶名root,密碼為空。所以如果不修改或者只是設置簡單弱口,很容易被黑客拿到弱口令輕松進入數據庫獲取數據。
4結論
本文通過搭建虛擬仿真滲透測試實驗環境,綜合采用多種手段和方法對電商平臺進行滲透測試,找到平臺常見漏洞和安全問題。通過研究代碼修補等方案,給出漏洞解決方案,讓用戶放心使用平臺,避免電子商務平臺受到攻擊而造成經濟損失。本文給出的安全策略及方法可以在電子商務平臺推廣使用,具有普遍適用性。
參考文獻:
[1]諸葛建偉,陳力波,孫松柏等.Metasploit滲透測試魔鬼訓練營[M].北京:機械工業出版社,2018.
[2]劉坤.網絡攻防與實踐[M].北京:北京理工大學出版社,2018
[3]商廣明.Nmap滲透測試指南[M].北京:郵電出版社,2018.
作者:劉坤 單位:蘇州健雄職業技術學院 軟件與服務外包學院
