电商网站的安全性 | WooYun知识库
电商网站的安全性
电商网站由于是直接涉及到金钱的交易，对其本身的安全性要求很高。
这样才能保证普通网民在其网站做金钱交易的时候，不会发生安全问题。
双11刚过，看着那一个一个突破以往的数字，让人惊叹网购的力量。
但是这背后，可能存在哪些安全性的问题呢？
普通网民在网购的时候应该注意些什么呢？
从国业内影响力最大的漏洞报告平台wooyun上来看一下吧（拿淘宝，京东，苏宁做例子做个统计。）。
淘宝号称亚洲最大、最安全的网上交易平台。
双11最耀眼的网购平台，taobao在wooyun上被提交的漏洞，在电商上算得上是最多的。
或许是树大招风吧，对其感兴趣的白帽子也很多，所以导致平台上taobao的漏洞多于其他电商。
但是国内电商平台本身的安全性来讲，我相信淘宝其平台本身肯定是最好的。
来看一下淘宝网的漏洞统计：
关于xss漏洞是指攻击者可在对方网站插入自己可供的一段js代码，从而控制浏览者的浏览器的部分权限。
xss的危害通常在sns社区中显现出来，有人会拿来做恶作剧、做蠕虫，对用户形成骚扰，产生垃圾信息。
有人会拿来诱惑用户点击攻击链接，从而盗取用户身份。
在网购平台上来讲，最大的利用当属钓鱼购物，这种可以直接转化为利益的攻击方式：
从wooyun上的一个案例中可窥探一下针对taobao做黑产的一角：
几个含金量很高的xss技巧：
url跳转漏洞的介绍见此：
url跳转同样是经常被用来钓鱼。
通过跳转绕过阿里旺旺的钓鱼网址检测系统：
钓鱼的其他手段
在厂商已经把安全性做了很好的前提下，仍然不能保证网民一定不会被钓鱼。
下面看看一些其他的钓鱼手段：
钓鱼淘宝卖家，收集密码的后台被白帽子拿下上报wooyun
这个style使用的让人眼前一亮：
程序设计缺陷
修改ccs样式修改商品的信息，人才啊：
这种支付的漏洞，真没想到taobao也会有：
客户端问题
服务器配置问题
能猜到这个地址，我只想说，人才：
web程序其他漏洞
struts惹的祸：
struts这个框架近几年被爆多次远程代码执行漏洞，导致很多使用改框架的公司受害：
即使平台本身没有问题，也会有人做各种钓鱼的页面，采用各种手段来骗取网购用户在其制作的假网站中消费，骗取钱财。
针对taobao的钓鱼程序：
针对钓鱼网址taobao的确比较难直接将其关闭，但是也做了很多措施。
如下面白帽子提交漏洞：
下面的taobao厂商的回复：
感谢反馈。
这类问题不在淘宝控制范围内，我们没办法限制他的产生，但一直在尽力控制钓鱼链接对用户产生的危害：
1. 我们会在旺旺聊天信息中提示风险，同时建议用户不在旺旺以外的IM软件中谈淘宝相关的交易。
2. 我们会对IM旺旺和会员反馈进行监控，结合各类检测模型，尽量在第一时间发现新产生的钓鱼链接，在IM中进行封禁。
3. 我们积极与外部厂商（浏览器、杀毒软件、安全管理软件等）合作，将钓鱼链接信息同步，起到更好的保护作用。
4. 我们将马上上线一个钓鱼链接在线举报平台，欢迎各位积极举报。
例如最近被公开很火的针对路由使用默认密码
以上漏洞并未列出全部的漏洞，提了一些比较典型的问题。
淘宝业务较多，逻辑复杂，出现了struts命令执行等获得服务器的漏洞，以及泄露匿名用户信息，支付漏洞以及xss，url跳转可被钓鱼的漏洞等。
京东商城-专业的数码网上购物商城
由于京东线上业务逻辑远没有淘宝那么复杂，所以漏洞总数在wooyun上并不如taobao多。
但是漏洞的严重程度，远大于taobao。
从漏洞的忽略程度来看，京东12年的时候可能刚组建专门的安全团队。
对安全问题逐渐重视。
xss也有很多，就不一一列举了
客户端问题
京东从.net转向java，使用的struts，被坑惨了：
服务器配置
其实一个公司对安全的重视程度怎么样，从下面这个漏洞就可以基本看出个大概。
该漏洞详情还未完全公开，核心白帽子可以查看：
总体来说存在的安全问题大大小小也不少，但是相对于以前，已经对安全重视很多。
希望京东内部能够更加重视安全，毕竟做电商的，用户金钱有了损伤还是很严重的。
苏宁易购，是苏宁电器集团的新一代B2C网上商城，于日上线试运营。日，苏宁电器在南京总部宣布，公司的B2C网购平台“苏宁易购”将于2月1日正式上线，并将自主采购、独立运营，苏宁电器也由此正式出手电子商务B-t-C领域。
嗯。。。sql注入也会有这么多：
比较严重的问题
苏宁易购总结
苏宁易购不太清楚是否有自己的安全团队，其安全性做的一般，大小问题不少，希望再接再厉：）
从乌云的平台上可以看到，大如淘宝的电商平台，拥有专业的安全团队，但是由于业务过多，依然可能存在可被获取服务器权限的漏洞。
其他电商网站有的刚配上专业的安全团队，有的可能对安全的重视程度还未达到需要配专业安全团队的地步，但大都在努力保证其安全性。
包括淘宝等一些互联网公司也在努力对网民做钓鱼的防范意识教育，全面的保证网民在网购上的安全性。
希望各电商能与白帽子共同努力，打造一个安全的电商平台。：）
碎银子打赏，作者好攒钱娶媳妇：
火前留名！
貌似没有找到亮点
我会告诉你没有嘛？~
我会告诉你们苏宁的安全团队有妹子么！
中国就这3家电商做的好的？赞楼主一个！
总结的漂亮。。~
总结的漂亮。。~
看的脑袋疼
总结的很详细
我只是来给你消灭0回复的～
感谢知乎授权页面模版给差评致账号被盗？淘宝支付宝账号防盗小技巧 - 互联网 - 科技讯-中国第一科技门户，报道最新科技新闻
> 给差评致账号被盗？淘宝支付宝账号防盗小技巧
给差评致账号被盗？淘宝支付宝账号防盗小技巧
　　【讯】12月17日消息，今日有媒体称，有淘宝用户反映其支付宝账号和支付密码被盗遭到篡改，自己的交易和差评记录也被删除，让他庆幸的是，支付宝里没有余额，未遭受严重损失。不过，这为其他淘宝用户提了醒，一定要保护好自己的支付宝账号，并提高安全性。
　　据重庆晨报报道，淘宝用户夏先生最近在购物过程中，因价格问题与商家产生分歧，他给出差评并多次拒绝淘宝商家将&差评改成好评&的要求。不过，日前夏先生登陆淘宝账号发现自己的交易记录和差评被莫名其妙删除了，还是自己删除的。更蹊跷的是，他的支付宝账户名和支付密码也被人篡改。
　　夏先生怀疑是有人盗用自己的淘宝账号删除了差评，篡改了自己的支付宝账号，并认为是卖家为了信誉度，想办法删除了差评。不过，淘宝商家表示并不知情，而淘宝客服也表示系统无法恢复删除的交易评价记录。
　　对此，没有任何证据的夏先生只能无奈作罢。而让夏先生庆幸的是，最近他的支付宝里没有余额，让他避免了更大的损失，他同时表示要提高支付宝的安全性。
　　小编点评：消费者在网购时一定要注意自己的账号安全，特别是在下订单和做出评价时，会在商品的交易栏和评价栏留下账号信息，这时用户可以选择匿名交易和评价以保护自己的账号安全。
　　下面介绍一下保护淘宝支付宝账号小技巧：
　　1.淘宝支付宝账号绑定，在登陆账号时需要使用动态口令登陆，提高安全性。
　　2.淘宝支付宝账号实名认证，并申请、下载安装数字证书，在安装了数字证书的电脑上才可以对支付宝账户进行交易操作。
　　3.将支付宝密码和支付密码设置成不同密码，提高安全性。jQuery.getScript("/user/userlogin.asp?action=PoploginStr",function(){
jQuery("#showloginform").html(userpop.str);
function getCode(){
document.getElementById('showVerify').innerHTML='';
var seccodefocus=0;
function getverifycode() {
var obj=document.getElementById("vcodetext_menu");
obj.style.top = (-parseInt(obj.style.height)) + 'px';
obj.style.left = '0px';
obj.style.display = '';
document.getElementById('vcodeimg').src =document.getElementById('vcodeimg').src.split('?')[0]+'?time=' + Math.random();
$("#vcodetext_menu").fadeOut('fast').fadeIn('fast');
function CheckLoginForm(){
var username=document.myform.Username.
var pass=document.myform.Password.
if (username==''){
alert('请输入用户名');
document.myform.Username.focus();
if (pass==''){
alert('请输入登录密码');
document.myform.Password.focus();
function GetUserLoginStr(){
jQuery.getScript("/user/userlogin.asp?action=checklogin&s=1",function(){
jQuery("#showuserlogin").html(user.loginstr);
GetUserLoginStr();
您当前位置： >>
>> 浏览文章
买家淘宝账号存在安全风险，目前处于交易安全保护中”原因
首先来了解一下出现&买家淘宝账号存在安全风险，目前处于交易安全保护中&原因：
1、新申请的号时间太短买的宝贝太多；
2、买的1元以下的宝贝过多，淘宝系统认为你这是在帮卖家炒作信誉。
3、此号就是永久不能够买宝贝了，被淘宝加入黑名单，除非哪天淘宝系统释放了你这号。
4、此号是买来的号，IP地址没有更换过来就去买大量宝贝，也就是&异地登陆&（买来的刷单小号！？）
5、你买的东西太多了，账号暂时被冻结，要过一段时间才能买；也就是淘宝认为你在刷单。
总之就是一句话：自己的淘宝安全性需要提高了或者修改一些关键性问题让淘宝知道这是你在操作，是你自己的号，那样就会从小黑屋里释放出来。
接下来就是，网站给出的操作方法了，大家一定耐心按照步骤来操作，这样一般3天后机会解放，就可以购物了。
首先打开&支付宝&页面，点击&我的支付宝&，再点击&安全设置&后修改&登陆密码&&支付密码&&设置密保&，下面的短信验证服务和宝令弄不弄都行。&安装证书&下面会提到，（为什么要都改密码和设置密保呢，原因是购买来的小号本身就不安全，也在原始注册地方登陆过，后期也是狂刷上来的信誉，已被淘宝列为炒作信誉的号，现在又换到自己的登陆IP地址不一样的地点肯定会有不安全现象，出现异常，所以要修改密码设置密保问题）。
打开&基本信息&后首先&实名认证&，&绑定手机号&（注意：已绑定手机号的需要更换或者解除后在绑定，不可以用原来的手机号，需要绑定新的手机号才安全，）
绑定了手机号后再者就是&安装证书&了。（安装证书是必须弄的）
画圈里面的&账户名&邮箱&也是&支付宝账号&需要更换。方形里面的事开启&手机登录&。
（更换邮箱方法下面会介绍到，不会更换的可以借此机会学习，）
返回到淘宝页面后打开&账户管理&点击&个人资料&后把下面可以填写的都填写好。（最好写的真实些，填写自己的真实的更好）
接着就是&隐私设置&&微博绑定设置&&个人交易信息&&收货地址&，这些都是需要填写的。
&分享绑定&可以绑定也可以不绑定。（绑定后更加安全）
打开&安全设置&看下安全等级高低度，越高就代表小号的安全性最佳！
没有设置&操作保护设置&的一定要设置好，不会更换&邮箱支付宝&的现在可以学习下了。看下面介绍&&
全部都设置好就等待淘宝系统自动审核，（审核时间大概2-3天，如果赶上淘宝系统更新时需要等待一周后才可审核完毕）等审核完毕后淘宝系统就会智能的自动释放已被保护的小号啦。
【】【】【】【】【】
买/卖家教程& & &本人纯属对个人经历的一点感想，也许不专业，但绝对真实。个中观点，也许有失偏颇，也仅仅只是博主YY之意，别无它意。就当作茶余饭后之谈资，仅此而已！
& & &对于宝收益丶安全等问题，去年开始到现在，一直都没有停止过。
& & &一直以来，对于阿里妈妈还是比较有好感的。对于咱们小老百姓来说，能省一点是一点么，所以在淘宝购物，还是用阿里妈妈推广是吧，毕竟阿里妈妈也是阿里系的，也就不去搞其他的返利网了。
& & &但是，昨天登录发现，不能登录了，说必须绑定淘宝账号，才能使用。之前，一直没有去仔细研究阿里妈妈账号丶淘宝账号丶支付宝账号之间的关系，所以，就一直用阿里妈妈账号登录丶推广，包括提现的。那现在既然阿里妈妈要求绑定淘宝账号，而淘宝账号肯定也就绑定了支付宝账号，可阿里要求“发布过商品丶历史上有过卖家身份或者两个月内在阿里妈妈有过收益的淘宝账号不能用作绑定”，那像我这种情况就根本无法绑定了，里面的钱也就无法提取出来了，虽然就几十块钱而已。突然觉得，阿里原来也这么坑啊？现在的情况就是，我的阿里妈妈账号无法绑定淘宝账号，因为我和我老婆的淘宝账号都曾有过开店的记录，要新注册一个淘宝账号吧，要绑定实名认证的支付宝？而一个身份证只能注册一个支付宝！这就陷入了，A只能产生B，B绑定了C，D又要求C不能有E只能绑定C，否则，D就不能使用并不能从D提现到B,你妹啊……阿里是要挑战一个普通用户的逻辑思维能力吗？跟用户捉迷藏吗？那要是我阿里妈妈账号不绑定一个有效的绑定支付宝账号的淘宝账号，那几十块钱就一直挂在阿里妈妈里面了，就是取不出来了。
& & &我突然想到几年前的事情，帮朋友充值支付宝，结果输错了支付宝（邮箱），差呢就差了一个，126和163的关系，结果呢这个邮箱是根本不存在的邮箱，但是输入之后却显示跟正确邮箱对应的支付宝名字是一样的，所以我就直接输入金额充值了。结果就悲剧了，钱充到这个163邮箱对应的支付宝，或者根本不存在的那个支付宝上面了，然后就要不回来了，然后就没有让后了……估计那时候支付宝的内部系统还傻傻分不清邮箱126和163的区别还是怎么的？这个事情，具体大家可以看看我以前写的文章。
& & & 于是我想到，会不会哪天，支付宝也想到出个什么新规则，要你绑定这个，验证那个的，反正规则它说了算么。结果，大家的资金都被冻结了，然后就悲剧了，然后就知道怎么然后了……我那小几十块钱还好，据说有很多专业做淘宝客的，又被冻结几万丶十几万的都有。那余额宝呢？现在规模这么大，从账户安全的方面来说，也许可能做得的确不错。但是，政策丶规则的调整，是否会影响到余额宝的安全，我们不可得知。
& & &也许，我是一个非常不专业的普通用户，看到的并非是全部。但是，阿里在圈了一个巨大的生态圈，把用户吸引进去之后，能否真正做到马云所说的那种商业文明，我们也不得而知。
@你关注的人或派友
亲，先登录哦！
电商加油站o为梦想加油
电商服务商o【优选】
20万商家使用多店铺统一管理！
十年沉淀成就电商ERP用户数第一!
全网40000商家都在用的上新利器！
请输入姓名：
请输入对方邮件地址：
您的反馈对我们至关重要！