【今日话题】 讨论下电商项目设计的逻辑安全问题 - 刺客 1. 主要就是想讨论下哪里容易出现安全隐患,用什么方案能尽可能避免安全问题 - 刺客 2. 订单,积分,库存,折扣,抵用券 这几块都是安全大头。 订单的二次支付确认设计 多地址的地址关联和默认地址出现问题属于bug了吧?不算安全漏洞 - A.刘波@云软科技 3. 算bug 但是可以用这个bug来攻击,串改 - 酸酸哥 4. 之前找乌云内测过一次,代码逻辑性上漏洞出现在有修改的地方做的不严谨,比如修改地址,没有验证uid是否是属于登录者本人等,但最多出现的还是弱口令 - 酸酸哥 5. 还有退货换货流程问题 - 斯图尔特 6. 退换货流程因公司而已,但总体依照财务原则就不会错。因公司而异。 现在的电商,大部分都含有 虚拟商品和真实商品。退换货原则都不一样。- A.刘波@云软科技 7. 对外既要防普通用户误操作恶意用户故意操作,对内也要保证数据安全员工权限等问题吧,我觉得很重要一点就是鉴权。 - liyang 8. 电商,还是数据传输加密安全吧,比如支付信息等 - 黎博 9. 用户信息加密存储,支付加密传输。 - 邵奇 10. 1. 被sql注入 2. 被脱裤 - 乔楚 11. 电商网站留意下 接入第三方支付,支付成功后的自己平台回调接口 - 无明火 12. 任意密码重置,订单遍历,越权查看修改用户信息 - 头像即本人。 13. 订单遍历前年我们就发生过 订单详情,没判断 是不是这个用户的 有订单号就可以看 - @理鱼 回: 。。。。08年发生过。。后来就。。。面向过程的时候容易发生。。。 - 膘叔 14. 生成订单时 通过id重新去库里查价格 以免有人抓包改价格 付款后 再重新计算下价格 我刚到公司让我接手个商城 外包做的 乱得要命 商品信息。优惠码信息 竟然都是post直接处理。 之后就有人抓包改了下单 我当时刚接手几天。还没看下单逻辑。 领导把我好顿骂,之后我找到位置 我看到注释竟然是同事有改过。 默默的背了黑锅,没去说为什么 后来和同事熟了 我埋汰他和那烂外包公司是一伙的。 让请我吃了好几顿 我才不提这事了 - eli |
|
声明:文章版权归原作者所有 部分文章转自互联网 如有侵权请联系
[邮箱地址] 删除
|
注册
登录
