PHP 电商安全检测

自己先来顶一下

搜索： SQL 注入

常规的 SQL 注入，任意上传， XSS 等等就不说了
电商比较容易出现的是平行越权，就是订单遍历，用户资料遍历之类的

1 、 armitage
2 、 kali linux &&metasploit

sql 、 xss 、 csrf 等这些常规漏洞 ls 都说了

还有电商平台需要注意的是，订单和用户增量的保密，不要在前端和 url 里暴露用户和订单记录的自增 ID
如果有库存功能，注意库存访问会不会有数据一致性的问题

有一点想说的，千万别拿自增 id 当订单 id ... 别人一看就了解你网站到底有多少订单，分析下就知道你网站每天多少订单了。

各种流氓检测用一下

@bball 感谢， sql 注入我已经注意了，但是我不知道有没有高深手段能瞒过 我的处理机制，目前我处理是有个全局安全检测， sql 语句的 and 和 or 等关键字不能从前台传入，只能我后台拼接。还有其他可以绕过我这个处理机制的吗？

@or2me 3Q ，量大，我慢慢一个一个撸

@tabris17 3Q ， 已经记录在案

@letitbesqzr 嗯， 3Q ，这个我们已经规避

@lufyluo 对于你这种方法我只能表示“呵呵”

@lufyluo 你后台还在拼接的话肯定不行。

电商的话需要更加关注数据一致性、事务等。

@tabris17
@iyaozhen 小弟先感谢了，我这样是为了杜绝注入，能详细讲下我这样的弊端吗？

@lufyluo 有 mysql_real_escape_string 这样的东西为什么要自己过滤？

怎么不用 pdo

多去 wooyun 逛逛 搜 ecshop 之类看看有没有犯同样的错误。

@ljbha007 对对！感谢感谢，我嫩鸟 PHP

@xifangczy 3Q ，已去

逻辑上的:
负数金额购买
充值回调时并发,可能导致充一次钱,实际上给账户加了几次

sql ， xss 上传
平行权限 垂直权限
订单遍历等信息泄露
金额校验，运费是否能为负

建议去乌云知识库看看

@lufyluo sql 语句的 and 和 or 等关键字不能从前台传入 不要在用这种 老旧的过滤规则了。把系统数据库链接换 mysqli 或者 PDO 吧。 预处理彻底阻止注入的漏洞。 这种规则 你会发现 很多 敏感关键词的。
楼上好像没人说到图片木马方面的。

@letitbesqzr 请问有什么办法可以不拿自增 id 做订单 id ？

@ys0290 uuid

@shuimugan
@wapy
@ByZHkc3

感谢感谢，

@Felldeadbird 非常感谢

当你觉得你的网站安全没有问题了，可以来乌云众测看看。 http://ce.wooyun.org
@lufyluo

@niliu 你好！我们用 360 扫的，这个行吗？

@lufyluo 我只能说一个扫描器能发现的问题太有限了，更何况 xxx 你懂得。看你们对安全还是挺重视，如果想全面的检查一下网站业务安全问题，我还是强烈建议去乌云众测，我大概描述一下吧：参与众测项目的都是乌云平台的顶尖白帽子，大概 20-30 人不等，全部手工测试，不用担心扫描器影响业务而且漏洞质量很高，数量很多。而且乌云的白帽子非常有节操。。 PS:这并不是广告，这是一个乌云白帽子的心声！ 对了，你还可以去了解一下唐朝安全巡检 www.tangscan.com ，由乌云社区众多安全研究人员维护的企业在线安全平台。

@or2me 娃娃你好伟大！

@niliu nice

@niliu 绿帽子？

有很多类似的工具，扫扫更健康

电商最重要就是
事务 事务 事务
重要的事情说三遍