.NET架构的电子商务网站安全漏洞大致可能有哪些方面的 ?
如题,请大家各抒己见,我想了解下
大致如京东商城这种
www.360buy.com
从服务器管理 页面注入 伪造cookie 等各种途径的都可以,集思广益
------解决方案--------------------注意WEB网站的常见安全问题,这是个通性问题。
------解决方案--------------------
如果你真想看,可以去看看这个:
http://down.51cto.com/data/50049
网站系统安全开发手册
这是一本讲述如何开发安全的ASP.NET应用程序的手册,在手册里讲到了涉及到网站安全的方方面面,是一册ASP.NET开发人员值得了解的手册。本人在公司内部开发人员安全培训时也多次参考到里面的内容和章节。
目录:
第一节 输入验证
第二节 输出编码
第三节 防止SQL 注入
第四节 跨站脚本攻击
第五节 跨站请求伪造
第六节 越权操作
第七节 IO 操作安全
第八节 缓存泄漏
第九节 系统加密
第十节 信息泄露
第十一节 日志和监测
第十二节 Web.config 的安全配置.
第十三节 综合实例讲解
------解决方案--------------------是呀! 我目前也是基于一个电子商务平台的网站, 帮忙顶下LZ
------解决方案--------------------常见的问题:
第一、SQL注入漏洞,这个是最为常见的,也是危害最大的,作为电子商务网站,在线购买等行为涉及到金额,所以数据库安全是非常重要的。
第二、上传漏洞,如果用户可以上传图片和文件就需要注意加以区分木马和一般文件。
第三、尽量使用Session而不是cookie,防止cookie伪造。
第四、对js,CSS中的可执行代码进行过滤,防止使用xss注入。
第五、防止搜索引擎中发现你的漏洞。合理使用robots.txt文件,因为搜索引擎很容易找到你一些隐私的东西,黑客可以利用gg进行入侵。
第六、防止暴力破解,加大验证码的难度。
第七、防止跨站注入。
第八、服务器安全,这个比较通用,你可以查查。
------解决方案--------------------这个不帮你顶了,没经验,有电子商务平台,支付平台开发经验的朋友可以加QQ群:61024604,大伙进来聊聊。
------解决方案--------------------http://www.bvbuy.cn/
接受的参数要检查数据类型和指定长度,过滤掉单引号
应用验证码
严格检查上传内容的格式,不单单只是检查扩展名
重要的cookies要加密
------解决方案--------------------1、SQl 数据库注入
2、自动提交机器人
3、跨站点攻击
4、cookie 信息 篡改