劉坤

摘要：本文針對電子商務(wù)平臺容易受到各類攻擊進(jìn)行，給出具體應(yīng)用策略。首先對電子商務(wù)平臺存在的漏洞進(jìn)行研究分析，根據(jù)企業(yè)實際環(huán)境搭建虛擬仿真滲透測試環(huán)境，對電子商務(wù)平臺和服務(wù)器進(jìn)行滲透測試，找到已知或未知漏洞，并給出漏洞解決方案和應(yīng)對策略。

關(guān)鍵詞：電子商務(wù)平臺;滲透測試;安全策略

中圖分類號：TP319 文獻(xiàn)標(biāo)識碼：A

文章編號：1009-3044（2019）30-0281-03

隨著5G時代的到來，網(wǎng)絡(luò)快速發(fā)展給人們的生活帶來極大的便利，電子商務(wù)平臺的快速發(fā)展極大得方便了人們的生活，我們可以足不出戶買到各類商品。電子商務(wù)研究中心發(fā)布《2017年度中國城市跨境電商發(fā)展報告》報告對全國13個跨境電商綜合試驗區(qū)城市進(jìn)行分析，了解各城市發(fā)展現(xiàn)狀、政策措施、存在問題、發(fā)展建議等。蘇州是首批國家電子商務(wù)示范城市之一，自2016年1月獲批以來，蘇州跨境電商綜試區(qū)將發(fā)展跨境電商B2B出口作為業(yè)務(wù)發(fā)展的重中之重。蘇州電子商務(wù)平臺還與東盟“單一窗口”平臺成功聯(lián)調(diào)，出口B2B業(yè)務(wù)數(shù)據(jù)可直達(dá)東盟10國和印度等國。蘇州跨境電商綜試區(qū)線上綜合服務(wù)平臺正在探索打造全國特殊監(jiān)管區(qū)域一般納稅人服務(wù)平臺、全國境外游客的退稅、跨境電子商務(wù)出口一站式平臺等延伸發(fā)展定位，拓展商業(yè)增值服務(wù)，其主要平臺包括：虎丘婚紗城、沃金網(wǎng)絡(luò)、蘇州婚紗定制網(wǎng)、破浪電商、雷盛網(wǎng)絡(luò)、阿拉丁等等。由于電商平臺快速發(fā)展，電子商務(wù)平臺信息安全越來越重要，如果不加強(qiáng)平臺信息安全管理，導(dǎo)致數(shù)據(jù)被竊取和篡改，會給企業(yè)和政府帶來巨大的經(jīng)濟(jì)損失。

本文針對蘇州電子商務(wù)平臺信息安全現(xiàn)狀進(jìn)行研究分析，采用黑盒滲透測試對典型的電子商務(wù)網(wǎng)站進(jìn)行滲透測試，從而找到電子商務(wù)平臺的漏洞，對其研究得到電子商務(wù)平臺信息安全應(yīng)對策略，并可以將安全策略在其他同類電子商務(wù)平臺進(jìn)行普及推廣應(yīng)用。

1電子商務(wù)平臺信息安全現(xiàn)狀研究分析

電子商務(wù)平臺快速發(fā)展，也隨之帶來了電子商務(wù)平臺的網(wǎng)絡(luò)安全問題。網(wǎng)絡(luò)安全越來越受到人們重視，Web應(yīng)用滲透攻擊在近些年來也是一個熱門話題，主要是因為通過Web攻擊，能夠獲取到更多有價值的信息。目前Web服務(wù)無處不在，如電子郵件、在線編輯文檔、在線購物、在線銀行等等，入侵這些應(yīng)用系統(tǒng)不僅能夠體現(xiàn)攻擊手段，而且可以獲得更多的經(jīng)濟(jì)利益。一旦電子商務(wù)平臺被黑客入侵，用戶購物信息就會被黑客竊取，會給企業(yè)和個人造成重大的經(jīng)濟(jì)損失。

通過對電子商務(wù)平臺信息安全的調(diào)研分析，目前電商平臺還是中小型企業(yè)居多，發(fā)展規(guī)模較小，電子商務(wù)平臺安全缺少專業(yè)技術(shù)人才，投入到網(wǎng)絡(luò)安全資金有限，主要存在以下幾個方面的問題：

1）技術(shù)門檻低，對于攻擊者來說，Web攻擊技術(shù)相對傳統(tǒng)的操作攻擊技術(shù)而言簡單也更容易理解，隨著Web平臺不斷增加和流行，大多數(shù)Web應(yīng)用幾乎不需要很多開發(fā)經(jīng)驗就可以開發(fā)出來，程序存在漏洞相對比較多。

2）防火墻可以輕松繞過，我們知道防火墻一般是允許流入方向的HTTP/HTTPS，因為允許客戶端訪問Web服務(wù)器來提供Web服務(wù)。這樣配置再好的防火墻對攻擊者來說，也是可以輕松繞過。

3）攻擊人侵的隱蔽性，在互聯(lián)網(wǎng)上針對Web攻擊很多無法進(jìn)行取證，在Web攻擊過程中，很多容易通過各種公開的HTTP代理發(fā)起攻擊，很難找到真正的攻擊者。

4）Web應(yīng)用的調(diào)整對于一個業(yè)務(wù)公司來說肯定是經(jīng)常需要的，但是對于調(diào)整Web應(yīng)用的開發(fā)人員，系統(tǒng)管理員來說，他們往往缺乏信息安全方面的專業(yè)知識，很難保證網(wǎng)絡(luò)信息安全策略的實施。

5）由于電子商務(wù)平臺多是購物平臺，隨之而來也給攻擊者帶來利益，所以攻擊者多會通過各種欺騙手段如釣魚攻擊，拒絕服務(wù)攻擊等進(jìn)行詐騙，從而獲得豐厚利潤。

本文針對某電子商務(wù)平臺進(jìn)行網(wǎng)站信息安全評估，利用黑盒測試技術(shù)，采用流行的攻擊技術(shù)與工具，有目標(biāo)有步驟地進(jìn)行逐步滲透與入侵，找到電商平臺中一些已知和未知的安全漏洞，評估這些漏洞可能對企業(yè)的電商平臺和業(yè)務(wù)造成的損失，給出電子商務(wù)平臺安全漏洞解決對策。

2電子商務(wù)平臺滲透測試研究

本文基于黑盒測試方法，模擬某企業(yè)真實環(huán)境搭建虛擬實驗環(huán)境進(jìn)行測試，這樣的好處是不影響企業(yè)或公司網(wǎng)站正常運行維護(hù)，同時也不會把網(wǎng)站漏洞暴露在網(wǎng)絡(luò)上，非法使用人侵系統(tǒng)。根據(jù)某企業(yè)環(huán)境，搭建的滲透測試實驗環(huán)境拓?fù)浣Y(jié)構(gòu)如圖1所示。其中模擬真實網(wǎng)站環(huán)境是虛擬機(jī)Web服務(wù)器，模擬真實操作系統(tǒng)環(huán)境是虛擬機(jī)Linux和WinXP，模擬真實攻擊機(jī)器是Kali Linux。我們使用攻擊機(jī)器中的各種黑客常用工具，對目標(biāo)Web服務(wù)器進(jìn)行滲透測試找到已知或者未知漏洞，同時也對操作系統(tǒng)進(jìn)行滲透測試，找到目標(biāo)服務(wù)器可能存在各類漏洞和安全隱患。

為了能夠搭建實驗環(huán)境，我們采用VMware虛擬化技術(shù)，支持一臺高性能PC中安裝若干臺虛擬機(jī)，實現(xiàn)滲透測試目標(biāo)機(jī)器和攻擊機(jī)器，測試環(huán)境所需要的設(shè)備配置如表1所示。黑盒測試中利用OWASP BWA作為Web測試靶機(jī)，它匯集了大量已知安全漏洞實驗環(huán)境和真實Web應(yīng)用程序，配置各種漏洞的web應(yīng)用程序，可以進(jìn)行滲透測試，同時由于采用PHP開放源碼方式，也方便進(jìn)行Web服務(wù)器加固，得到安全策略。LinuxMetasploitable靶機(jī)包含一些存在安全漏洞的軟件包，如Sama、Tomcat5.5、Mysql以及弱口令漏洞等，用于測試服務(wù)器操作系統(tǒng)安全性。

通過模擬真實網(wǎng)絡(luò)環(huán)境進(jìn)行黑盒測試，當(dāng)前電商平臺普遍存在的安全漏洞主要有以下幾個方面：

1）SQL注入

SQL注入就是在輸入字符串中嵌人SQL指令，在設(shè)計程序中忽略對特殊字符串的檢查，這些嵌入的指令會被誤認(rèn)為正常的SQL指令，在數(shù)據(jù)庫中執(zhí)行，因此可以對后臺數(shù)據(jù)庫進(jìn)行查看，甚至破壞后臺數(shù)據(jù)庫造成嚴(yán)重后果。SQL注入是發(fā)生在Web應(yīng)用對后臺數(shù)據(jù)庫查詢語句處理存在的安全漏洞，由于幾乎所有的電商平臺都使用數(shù)據(jù)庫存放數(shù)據(jù)，數(shù)據(jù)庫語句漏洞直接影響平臺安全性。

2）跨站腳本攻擊

跨站腳本攻擊是一種網(wǎng)站應(yīng)用中常見的攻擊方式，它允許惡意使用者將程序代碼注入網(wǎng)頁上，其他使用者在瀏覽網(wǎng)頁的時候就會受到不同程度的影響，這類攻擊一般含HTML語言以及目標(biāo)主機(jī)的腳本語言。電子商務(wù)平臺一般給用戶提供留言和反饋功能，如果沒有對用戶輸入內(nèi)容進(jìn)行嚴(yán)格的過濾直接提交就會導(dǎo)致跨站腳本攻擊。

3）跨站偽造請求

跨站偽造請求，屬于跨站腳本漏洞的一種衍生，攻擊者用XSS注入方式注入一段腳本，當(dāng)受害者點擊瀏覽器運行該腳本時，腳本偽造受害者發(fā)送一個合法請求。該請求就好像是被攻擊者自己發(fā)送一樣，攻擊者就達(dá)到了偽造請求的目的。

4）文件包含漏洞

文件包含函數(shù)加載的參數(shù)沒有經(jīng)過過濾或者嚴(yán)格的定義，可以被用戶控制，包含其他惡意文件，導(dǎo)致了執(zhí)行了非預(yù)期的代碼。PHP的配置文件allow_url_fopen和allow-url-include設(shè)置為ON，include/require等包含函數(shù)可以加載遠(yuǎn)程文件，如果遠(yuǎn)程文件沒經(jīng)過嚴(yán)格的過濾，導(dǎo)致了執(zhí)行惡意文件的代碼，文件包含漏洞普遍存在電子商務(wù)網(wǎng)站。

5）文件上傳漏洞

文件上傳漏洞是指由于程序員在對用戶文件上傳部分的控制不足或者處理缺陷，而導(dǎo)致的用戶可以越過其本身權(quán)限向服務(wù)器上上傳可執(zhí)行的動態(tài)腳本文件。這里上傳的文件可以是木馬，病毒，惡意腳本或者WebShell等。這種攻擊方式是最為直接和有效的，“文件上傳”本身沒有問題，有問題的是文件上傳后，服務(wù)器怎么處理、解釋文件。如果服務(wù)器的處理邏輯做的不夠安全，則會導(dǎo)致嚴(yán)重的后果。

6）不安全密碼存儲

Web應(yīng)用程序中資料加密存儲方式較為簡單，加密算法強(qiáng)度較弱，如果使用不適當(dāng)?shù)拿艽a算法或者配置不當(dāng)，就會造成密碼泄露。一般管理密碼以及數(shù)據(jù)庫密碼為了方便管理和使用，都使用默認(rèn)密碼而不修改，利用一些滲透攻擊模塊如laser-map_script等就可以對ssh服務(wù)進(jìn)行弱口令暴力破解，從而拿到遠(yuǎn)程主機(jī)的訪問權(quán)限。

3電子商務(wù)平臺信息安全策略研究

通過模擬真實環(huán)境滲透測試，找到電子商務(wù)平臺普遍存在的安全漏洞和安全隱患，為了保證各類電子商務(wù)平臺的信息安全，我們從以下幾個方面進(jìn)行風(fēng)險評估和漏洞解決對策。

3.1SOL注入漏洞

在網(wǎng)站的程序代碼里，有很多用戶需要提交的參數(shù)值，比如get、post的數(shù)據(jù)提交時，程序員沒有對其進(jìn)行詳細(xì)的安全過濾，導(dǎo)致可以直接執(zhí)行SQL語句，在提交的參數(shù)里，可以摻人一些惡意的sql語句命令，比如查詢admin的賬號密碼，查詢數(shù)據(jù)庫的版本，以及查詢用戶的賬號密碼，執(zhí)行寫入一句話木馬到數(shù)據(jù)庫配置文件，執(zhí)行系統(tǒng)命令提權(quán)等等。

SQL注入漏洞修復(fù)主要對策是程序代碼里的所有查詢語句，使用標(biāo)準(zhǔn)化的數(shù)據(jù)庫查詢語句API接口，設(shè)定語句的參數(shù)進(jìn)行過濾一些非法的字符，防止用戶輸入惡意的字符傳人到數(shù)據(jù)庫中執(zhí)行sql語句。對戶提交的參數(shù)安全過濾，像一些特殊的字符（，（）*&……%#等等）進(jìn)行字符轉(zhuǎn)義操作，以及編碼的安全轉(zhuǎn)換。網(wǎng)站的代碼層編碼盡量統(tǒng)一，建議使用utf8編碼，如果代碼里的編碼都不一樣，會導(dǎo)致一些過濾被直接繞過。網(wǎng)站的數(shù)據(jù)類型，必須確定，是數(shù)字型，就是數(shù)字型，字符型就是字符型，數(shù)據(jù)庫里的存儲字段類型也設(shè)置為ini型。對用戶的操作權(quán)限進(jìn)行安全限制，普通用戶只給普通權(quán)限，管理員后臺的操作權(quán)限要放開，盡量減少對數(shù)據(jù)庫的惡意攻擊。網(wǎng)站的報錯信息盡量不要返回給客戶端，比如一些字符錯誤，數(shù)據(jù)庫的錯誤信息，盡可能地防止泄露給客戶端。

3.2跨站腳本漏洞

跨站腳本攻擊之所以會發(fā)生，是因為用戶輸入的數(shù)據(jù)變成了代碼。所以我們需要對用戶輸入的數(shù)據(jù)進(jìn)行HTML Encode處理，將其中的”中括號”、“單引號”、“引號”之類的特殊字符進(jìn)行編碼，同時將重要的cookie標(biāo)記為http only，這樣的話Javas-cript中的document.cookie語句就不能獲取到cookie值。

3.3跨站偽造請求漏洞

跨站請求偽造漏洞修補(bǔ)對策為：

1）驗證http referer字段，根據(jù)HTFP協(xié)議，在HTFP頭中有一個字段叫Referer，它記錄了該HTYP請求的來源地址。在通常情況下，訪問一個安全受限頁面的請求必須來自同一個網(wǎng)站。

2）在請求地址中添加token并驗證，CSRF攻擊之所以能夠成功，是因為攻擊者可以偽造用戶的請求，該請求中所有的用戶驗證信息都存在于cookie中，因此攻擊者可以在不知道這些驗證信息的情況下直接利用用戶自己的cookie進(jìn)行安全驗證。所以，抵御CSRF攻擊的關(guān)鍵在于在請求中放人攻擊者所不能偽造的信息，并且該信息不存在于cookie中。因此，可以在http請求中以參數(shù)的形式加入一個隨機(jī)產(chǎn)生的token，并在服務(wù)器建立一個攔截器來驗證這個token，如果請求中沒有token或者token內(nèi)容不正確，則認(rèn)為可能是CSRF攻擊而拒絕該請求。

3）在http頭中自定義屬性并驗證，自定義屬性的方法也是使用token并進(jìn)行驗證，和前一種方法不同的是，不是把token以參數(shù)的形式置于http請求中，而是把它放在http頭中自定義的屬性中。通過XMLHttpRequest這個類，可以一次性給所有該類請求加上csfftoken這個http頭屬性，并把token放人其中。這樣解決了前一種方法在請求中加入token的不便，同時，通過這個類請求的地址不會被記錄到瀏覽器的地址欄，也不用擔(dān)心token會通過referer泄露網(wǎng)站地址。

3.4文件包含漏洞

文件包含函數(shù)加載的參數(shù)沒有經(jīng)過過濾或者嚴(yán)格定義，可以被用戶控制，包含了其他惡意文件，導(dǎo)致執(zhí)行了非預(yù)期的代碼。PHP中可使用open_basedir配置限制訪問限制在指定的區(qū)域，過濾.（點）/（反斜杠）＼（斜杠），限制服務(wù)器遠(yuǎn)程文件包含等策略修補(bǔ)文件包含漏洞。

3.5文件上傳漏洞

文件上傳漏洞應(yīng)對策略可以檢查擴(kuò)展名，在文件被上傳到服務(wù)端的時候，對于文件名的擴(kuò)展名進(jìn)行檢查，如果不合法，則拒絕這次上傳，在檢查擴(kuò)展名是否合法的時候，有兩種策略：黑名單策略，文件擴(kuò)展名在黑名單中的為不合法，白名單策略，文件擴(kuò)展名不在白名單中的均為不合法。白名單策略是更加安全的，通過限制上傳類型為只有我們接受的類型，可以較好地保證安全，因為黑名單我們可以使用各種方法來進(jìn)行注入和突破。

3.6不安全密碼存儲

針對電子商務(wù)平臺弱口令問題，網(wǎng)站維護(hù)及管理人員應(yīng)該做到，登陸網(wǎng)站后臺頁面的賬戶密碼應(yīng)該經(jīng)過加密算法處理后再保存到數(shù)據(jù)庫中。數(shù)據(jù)庫的連接密碼務(wù)必要修改，特別是Mysql數(shù)據(jù)，默認(rèn)用戶名root，密碼為空。所以如果不修改或者只是設(shè)置簡單弱口，很容易被黑客拿到弱口令輕松進(jìn)入數(shù)據(jù)庫獲取數(shù)據(jù)。

4結(jié)論

本文通過搭建虛擬仿真滲透測試實驗環(huán)境，綜合采用多種手段和方法對電商平臺進(jìn)行滲透測試，找到平臺常見漏洞和安全問題。通過研究代碼修補(bǔ)等方案，給出漏洞解決方案，讓用戶放心使用平臺，避免電子商務(wù)平臺受到攻擊而造成經(jīng)濟(jì)損失。本文給出的安全策略及方法可以在電子商務(wù)平臺推廣使用，具有普遍適用性。