关于网站漏洞的案例和解决思路

攻击类型

SQL注入、XSS跨站脚本攻击、任意文件读取、CSRF攻击、远程拒绝服务类攻击（DDoS）、

jiasale电商支付系统重要漏洞，卖家损失巨大

漏洞触发场景：
1、在含有jiasale的网站，购买商品下订单
2、记录订单号
3、登录任意一个jiasale网站账户，通过特殊链接可以随意的更改价格，完成支付。比如把999元的改成0.01元
4、如果是自动发卡的，自动发货的，可以直接收到商品。
5、不管是商业用户，还是普通用户，都收到此影响。

分析及解决：
这种漏洞属于低级漏洞，支付接口对接时不应该接收前端页面关于价格的信息，也不应该开放一个页面允许用户去修改订单信息特别的是订单的金额。其次对接支付接口的时候，异步或者同步返回的信息除了做支付平台提供的认证校验，还要最少做订单号和订单金额的校验。

游戏电商类网站的支付漏洞

漏洞触发场景：
　　第一步：骗子在网站a上注册会员。人工或者使用自动程序，在网站a上获取下单，得到订单号;
　　第二步：骗子把订单支付网址发给被骗者，诱导被骗者支付。被骗者访问支付网址，就会跳转到第三方支付平台，接着进入网上银行支付货款。支付成功后，就等于花钱替骗子买了东西。
　　第三步：骗子瞬间把买到的东西挥霍一空。

分析及解决：
网站a没有检测到下单者和支付者不是同一个人，也没有开发开关及时冻结骗子会员账号。
网易宝的解决思路：购物对用户来说，主要分为下单、支付两个操作环节。比较用户下订单时的ip地址和支付后返回网站时的ip地址是否相同。如果两个ip地址不一样。那么就可以肯定下单和支付不是同一个人，就可以自动封禁该会员，禁止该会员对账户的操作权限。如果ip地址一样，可以判定是同一个人，应该不是异常单子。

但是对于大部分网商系统来说，支付页面都是有权限控制的，必须用户登录系统方可支付，所以这类漏洞出现的概率较低。

怎么抵御DDOS

对付DDOS是一个系统工程，想仅仅依靠某种系统或产品防住DDOS是不现实的，可以肯定的是，完全杜绝DDOS目前是不可能的，但通过适当的措施抵御90%的DDOS攻击是可以做到的，基于攻击和防御都有成本开销的缘故，若通过适当的办法增强了抵御DDOS的能力，也就意味着加大了攻击者的攻击成本，那么绝大多数攻击者将无法继续下去而放弃，也就相当于成功的抵御了DDOS攻击。以下几点是防御DDOS攻击几点：
1、采用高性能的网络设备
2、尽量避免NAT的使用
3、充足的网络带宽保证
4、升级主机服务器硬件
5、把网站做成静态页面
6、增强操作系统的TCP/IP栈
7、安装专业抗DDOS防火墙
8、限制IP操作的间隔。（这个做法在淘宝和京东上都有很明显的痕迹，相当于牺牲用户体验换取服务器安全的做法）

案例回顾

在互联网金融方面，目前主要有以下几种类型的漏洞状况：
( 摘录自：http://tanhaisheng.baijia.baidu.com/article/170646 )
（1）权限越权操作
主要是由于不安全对象引用和功能级别访问控制缺失所导致，比如说“越级上报”，最近新出的一个安全漏洞即华安保险网上理赔系统后台JBoss无验证导致上传webhshell，远程脚本执行敏感信息泄露，就属于这种越权操作的行为，当然此行为有时会是黑客所为，有时却是金融系统管理不善导致。
1）上传的文件不可执行，限定文件格式。
2）项目目录不可直接访问。

（2）用户密码重置
网上办理业务时密码被盗取，银行里的钱不翼而飞，这种情况通常与密保电话、密保邮箱等密码被盗取有关。许多的金融业务的平台都存在“动态密码”，即用户输入手机或是邮箱时，因为某些系统的保密性不足，手机号码和相关用户名等信息被窃取和重置，给用户带来损失。
1）关键信息替换时，需要经过用户人工干预这一流程，这样就没法被批量或者被脚本更新。

(3)信息泄露
信息泄露是互联网安全漏洞频发的主要原因。在一些网上银行、互联网保险业务等行业里，经常会要求在网上输入用户的个人相关信息，如果某些信息在审查过程中监管不到位，那么这样的信息泄露事件就非常容易发生。

非IT背景出身的老板，不了解资深IT存在的价值，各位同学，道不同不相为谋！