责任编辑：阿柳
共有：1条评论网友评论：
9:56:29发表116.255.132.14阿柳好厉害啊电商网站的安全性 | WooYun知识库
电商网站的安全性
电商网站由于是直接涉及到金钱的交易，对其本身的安全性要求很高。
这样才能保证普通网民在其网站做金钱交易的时候，不会发生安全问题。
双11刚过，看着那一个一个突破以往的数字，让人惊叹网购的力量。
但是这背后，可能存在哪些安全性的问题呢？
普通网民在网购的时候应该注意些什么呢？
从国业内影响力最大的漏洞报告平台wooyun上来看一下吧（拿淘宝，京东，苏宁做例子做个统计。）。
淘宝号称亚洲最大、最安全的网上交易平台。
双11最耀眼的网购平台，taobao在wooyun上被提交的漏洞，在电商上算得上是最多的。
或许是树大招风吧，对其感兴趣的白帽子也很多，所以导致平台上taobao的漏洞多于其他电商。
但是国内电商平台本身的安全性来讲，我相信淘宝其平台本身肯定是最好的。
来看一下淘宝网的漏洞统计：
关于xss漏洞是指攻击者可在对方网站插入自己可供的一段js代码，从而控制浏览者的浏览器的部分权限。
xss的危害通常在sns社区中显现出来，有人会拿来做恶作剧、做蠕虫，对用户形成骚扰，产生垃圾信息。
有人会拿来诱惑用户点击攻击链接，从而盗取用户身份。
在网购平台上来讲，最大的利用当属钓鱼购物，这种可以直接转化为利益的攻击方式：
从wooyun上的一个案例中可窥探一下针对taobao做黑产的一角：
几个含金量很高的xss技巧：
url跳转漏洞的介绍见此：
url跳转同样是经常被用来钓鱼。
通过跳转绕过阿里旺旺的钓鱼网址检测系统：
钓鱼的其他手段
在厂商已经把安全性做了很好的前提下，仍然不能保证网民一定不会被钓鱼。
下面看看一些其他的钓鱼手段：
钓鱼淘宝卖家，收集密码的后台被白帽子拿下上报wooyun
这个style使用的让人眼前一亮：
程序设计缺陷
修改ccs样式修改商品的信息，人才啊：
这种支付的漏洞，真没想到taobao也会有：
客户端问题
服务器配置问题
能猜到这个地址，我只想说，人才：
web程序其他漏洞
struts惹的祸：
struts这个框架近几年被爆多次远程代码执行漏洞，导致很多使用改框架的公司受害：
即使平台本身没有问题，也会有人做各种钓鱼的页面，采用各种手段来骗取网购用户在其制作的假网站中消费，骗取钱财。
针对taobao的钓鱼程序：
针对钓鱼网址taobao的确比较难直接将其关闭，但是也做了很多措施。
如下面白帽子提交漏洞：
下面的taobao厂商的回复：
感谢反馈。
这类问题不在淘宝控制范围内，我们没办法限制他的产生，但一直在尽力控制钓鱼链接对用户产生的危害：
1. 我们会在旺旺聊天信息中提示风险，同时建议用户不在旺旺以外的IM软件中谈淘宝相关的交易。
2. 我们会对IM旺旺和会员反馈进行监控，结合各类检测模型，尽量在第一时间发现新产生的钓鱼链接，在IM中进行封禁。
3. 我们积极与外部厂商（浏览器、杀毒软件、安全管理软件等）合作，将钓鱼链接信息同步，起到更好的保护作用。
4. 我们将马上上线一个钓鱼链接在线举报平台，欢迎各位积极举报。
例如最近被公开很火的针对路由使用默认密码
以上漏洞并未列出全部的漏洞，提了一些比较典型的问题。
淘宝业务较多，逻辑复杂，出现了struts命令执行等获得服务器的漏洞，以及泄露匿名用户信息，支付漏洞以及xss，url跳转可被钓鱼的漏洞等。
京东商城-专业的数码网上购物商城
由于京东线上业务逻辑远没有淘宝那么复杂，所以漏洞总数在wooyun上并不如taobao多。
但是漏洞的严重程度，远大于taobao。
从漏洞的忽略程度来看，京东12年的时候可能刚组建专门的安全团队。
对安全问题逐渐重视。
xss也有很多，就不一一列举了
客户端问题
京东从.net转向java，使用的struts，被坑惨了：
服务器配置
其实一个公司对安全的重视程度怎么样，从下面这个漏洞就可以基本看出个大概。
该漏洞详情还未完全公开，核心白帽子可以查看：
总体来说存在的安全问题大大小小也不少，但是相对于以前，已经对安全重视很多。
希望京东内部能够更加重视安全，毕竟做电商的，用户金钱有了损伤还是很严重的。
苏宁易购，是苏宁电器集团的新一代B2C网上商城，于日上线试运营。日，苏宁电器在南京总部宣布，公司的B2C网购平台“苏宁易购”将于2月1日正式上线，并将自主采购、独立运营，苏宁电器也由此正式出手电子商务B-t-C领域。
嗯。。。sql注入也会有这么多：
比较严重的问题
苏宁易购总结
苏宁易购不太清楚是否有自己的安全团队，其安全性做的一般，大小问题不少，希望再接再厉：）
从乌云的平台上可以看到，大如淘宝的电商平台，拥有专业的安全团队，但是由于业务过多，依然可能存在可被获取服务器权限的漏洞。
其他电商网站有的刚配上专业的安全团队，有的可能对安全的重视程度还未达到需要配专业安全团队的地步，但大都在努力保证其安全性。
包括淘宝等一些互联网公司也在努力对网民做钓鱼的防范意识教育，全面的保证网民在网购上的安全性。
希望各电商能与白帽子共同努力，打造一个安全的电商平台。：）
碎银子打赏，作者好攒钱娶媳妇：
火前留名！
貌似没有找到亮点
我会告诉你没有嘛？~
我会告诉你们苏宁的安全团队有妹子么！
中国就这3家电商做的好的？赞楼主一个！
总结的漂亮。。~
总结的漂亮。。~
看的脑袋疼
总结的很详细
我只是来给你消灭0回复的～
感谢知乎授权页面模版如何保护网站安全增强网站安全性能 - A5站长网
当前位置： &&gt&
如何保护网站安全增强网站安全性能
14:49&&来源：&
　　对于网站来说除了要有很好的内容还要有良好的安全性，安全性对于网站是极其重要的，它是决定网站能够正常发展的基础，假设在网站没有保障的情况下不仅会给自己带来危害也会给客户造成损失。这样的网站怎么能够得到客户的认可呢?又何谈赢利呢?那么今天我们就对网站的安全来谈一谈，希望能给大家带来帮助。
　　我知道做站长是一件不容易的事情，尤其是在资金方面，一般都会很仔细，但花钱购买空间是必须得，那么在选择IDC上面就要考察研究，选择一家有实力的，对于这个一定要忍痛割爱宁肯多花钱也不要去斤斤计较那一点，因为这样可以防止你费尽心思做得网站在瞬间被黑掉，到时候便无处诉说的。所以在网站建设上我们要多花些心思和资金，首要就是找一家实力强的IDC保证安全性，其次考虑的就是速度方面了。
　　个人站长很难花费精力去重新开发一套CMS系统，这是不大可能的，大部分都是用免费版进行再次开发来用，免费版也是有选择的，多选些大家津津乐道的，在选好之后要记得去官网上看看是否有最新版，如有最新要记得及时更新，能够修复系统的漏洞，提高系统安全性。
　　后台的数据库以及后台地址这些文件都是要小心保密的，所以一定不要用默认的，必须要修改文件名称，不然给黑客们就带来了可趁之机，所以一定要学会修改默认地址，像那些数据库的名字完全可以使用特殊的符号，不要用一些简单常见的名字，这样对破解有一定难度，被入侵的几率也会降低，明显增加了安全性。
　　尽量不要设置上传功能，为什么呢?由于现在科技的发展，入侵的手段也随之高明了，甚至比我们所能预想的还要高深，有些你可能都想不到，即使不用知道你的密码只要用过程序上传木马便可以入侵了，所以大家一定要谨慎网站的开放，同时要采用划分信誉等级的方式，对用户进行划分。还要注意一点是如果开设图片上传功能就要关闭图片文件夹得权限。
　　自己的网站要每周都要进行备份，就算你很自信自己对网站的安全做得很周密也要多留神的，人在江湖走哪能不挨刀呢是吧，不怕一万就怕万一。所以不能够相信空间商的承诺备份，网站数据是很重要的，不能够只交给一个人保管，还是要自己动手才能妥善，并且要经常备份最好是定期一周一次备份，这样就会大大提高了网站的安全，让被黑的几率降到最低限。
　　网站安全的道路不是那么容易的，要得到大家的重视，只要有一个地方没有做好便会让你的网站安全出现漏洞，这直接就说明了你的网站安全措施做得很差劲，所以，要做到全方面，不能忽略任何一个细微之处，这样才能让你的网站免受入侵，大大提高安全性。本本文A5首发，由江阴人才网创作转载保留，谢谢合作。
责任编辑：
延伸阅读：关键词：
分类排行榜
作者：守护袁昆
作者：李建华
作者：卢松松
作者：朱海涛
作者：卢松松
A5交易提供网站、域名、广告、网店、APP、微信公众号交易。安全...
A5营销提供企业网站营销诊断、顾问、电商推广、全网营销。
SEO诊断提供专业SEO建议，打造百度和用户都喜欢的网站。
企业会员依托A5的用户和流量优势，高性价比一站式内容营销。
为淘客提供交流、软件、高佣金产品服务，为卖家提供淘宝客招募。
增值电信业务经营许可证：
编辑热线：5
徐州八方网络科技有限公司 A5站长网 版权所有.后使用快捷导航没有帐号？
浅析建设企业网站如何保证网站的安全性
发布： 15:05
126 次浏览 0 位用户参与讨论
建设企业网站，我们必须要重视网站安全性，不仅仅要防止黑客攻击网站，另外，也要保护用户信息的安全性。所以我们在网站建设过程中，要重点把握这一方面。企业网站要注重哪些网站安全？第一就是选择空间的问题上面。假如你想把企业网站做大那么一定要选一个安全稳定的空间商，这个价格可以高一点，但一定要安全稳定。第二网站的程序。网站的编写语言一定要选用安全的语言，大家可以看看“企业网站要用什么语言编写”。网站后台一定要安全。第三公司的电脑一定要安全，电脑一会中个毒啊，一会中个木马啊，还有公司的内部员工一定要素质高点的。不然同业收买你员工，数据很容易就出去了，你网站有行使价值，别人什么事都做的出来，所以大家要注意这个问题。
建设企业网站如何保障网站安全性.jpg (8.09 KB, 下载次数: 5)
15:05 上传
第四网站的数据库。大家都知道网站的信息资料都存到数据库里面在，所以这个很主要，网站的用户信息一定要加密。我们许多建企业网站的用户会忽视这个问题，因为开始你建站的时候，你的网站是没有行使价值的，所以你的网站很安全，当你的网站做大了，有许多用户访问的时候，那么你就要注重网站的安全了。
参与讨论的站长有 0 人
添加一条新回复
HI,欢迎来到站长之家论坛
(C)CopyRight 2002- Inc All Rights Reserved. 站长之家 版权所有
增值电信业务经营许可证: 闽B2-号 -
, Processed in 0.110928 second(s), 32 queries教你9个提升 Wordpress 网站安全性的方法
大约一个月前，这个部落格被黑客入侵（编按：Amit Agarwal 的网站）。而其他托管于相同主机商的网站像是 ctrlq.org 和 也深受其害，黑客成功从网路上拿下了这些网站。
托管网站的主机商表示这可能发生于某些使用旧版的 WordPress 网站，导致密码不幸洩漏，这段时间虽然歷经一些艰难，但幸运的是被删除的网站已经回復，且流量也回到正常。
以下是我所做的变更，用来提高我的 WordPress 网站安全性，纵使这样的意外可能再次发生。
#1 使用你的 Email 作为登入帐号
当你安装完一个 WordPress 网站时，预设的第一位用户为 &admin&。你应该建立不同的使用者名称来管理你的 WordPress 网站，并将预设使用者 &admin& 删除，或是将它的权限从「系统管理员」降级为「读者」。
你也可以建立一个完全乱数（难以被猜中）的使用者名称，然后使用你的 Email 来登入 WordPress。外挂 WP-Email Login 可以加入此支援，使用你的 Email 取代帐号登入。
#2 不要向全世界展示你的 WordPress 版本
WordPress 网站会在原始码显示版本号，让其他人能够知道你正在执行旧的 WordPress。
要从网页里移除 WordPress 版本是狠简单的一件事，但你需要做一些额外的补强，从你的 WordPress 目录将 readme.html 档案删除，因为它也会把你所使用的 WordPress 版本展示给全世界。
#3 别让其他人拥有&写入&你 WordPress 目录的权限
登入你的 WordPress 网站 Linux 系统列，执行以下指令来取得所有「公开」、其他用户皆能写入的目录清单。
find . -type d -perm -o=w
你也许可以执行以下两行指令，来将你 WordPress 内的档案和目录设定为正确的权限（）。
find /your/wordpress/folder/ -type d -exec chmod 755 {} \;
find /your/wordpress/folder/ -type f -exec chmod 644 {} \;
对目录来说，755(rwxr-xr-x) 意味著只有拥有者具备写入权限，其他人只有读取和执行的权限。对档案来说，644 (rw-r&r&) 意味著只有档案拥有者具备读取和写入权限，其他人为唯读。
#4 重新命名你的 WordPress 资料表前缀
如果你使用预设选项来安装 WordPress 的话，你的 WordPress 资料表应该会像是 wp_posts 或 wp_users。将资料表的前缀（wp_）更改为其他随机值是比较好的作法，外挂2Change DB Prefix2可以让你在弹指之间重新命名你的资料表前缀。
#5 防止使用者浏览你的 WordPress 目录结构
这狠重要。开启你 WordPress 根目录底下的 .htaccess 档案，然后在最上方加入这行。
Options -Indexes
这能够防止其他人在能建立档案清单时看到你资料夹内的所有档案。例如目录下缺少预设的 index.php 或 index.html 时。
注：相关网站建设技巧阅读请移步到频道。
最新图文推荐
最新专栏文章
大家感兴趣的内容
&&<a rel="nofollow" class="red" href="" target="_blank" color="red新版网站排行榜
===全新上线===
网友热评的文章
seajs.config({
base: "/resource/passapi/scripts/"
seajs.use('seajs/seajs-css');
seajs.use(['artdialog/src/dialog-plus'], function (dialog) {
$('#favorite').on('click', function(){
$.getJSON('/passapi.php?op=userstatus&callback=?', function(data){
if (data.status == 1) {
var _this = $('#favorite').find('span');
$.getJSON('/?app=favorite&controller=favorite&action=add&jsoncallback=?&contentid='+contentid, function(json){
if(json.state){
_this.html('