-1

我有一个电子商务网站,我们在那里销售体育用品。从 1 个月开始,我注意到我的网站上有可疑活动。有人用一些垃圾详细信息注册到我的网站,然后他登录并进行货到付款(COD)交易,然后他就退出了。但这里的问题是,他仅以 90 卢比/200 卢比的价格购买了价值 1000+ 的产品。我很确定他在玩弄我的数据。

例如:
为了我们的方便,让这个人是 SAM。

于是 SAM 注册到站点并登录。然后他浏览到产品页面,产品详细信息是: 产品名称:ADIDAS MASTER CRICKET BAT
产品价格:11,000 Rs 然后他将该产品添加到购物车。填写他的运输详细信息。进入订单处理页面并选择付款方式为货到付款(COD)。接下来,他登陆订单成功页面,在那里他获得了他的交易摘要。此时订单已准备好处理和发货。但是当我们检查我们的数据库以获取订单详细信息时,我们发现订单金额为 99 Rs/200 Rs。我不确定他在哪里以及如何处理数据。我们使用会话来存储所有交易细节。我们的网站是在 asp.net 3.0v 上开发的。

请帮助找出他试图篡改数据的方式和位置。

感谢您的帮助,但仍需要更多帮助

谢谢大家的帮助,我在我的网站上发现了故障。我们在购物车页面中使用隐藏字段帮助黑客篡改我们的数据。但现在我希望用一些安全的字段替换隐藏字段。有人可以帮我解决这个问题。

仅供参考,我的网站是基于ASP.NET 3.0V构建的。

4

5 回答 5

5

您不能信任网络浏览器或用户。

这包括 cookie 数据、会话数据、本地存储、表单中的数据、Javascript 中的计算以及来自用户的任何内容。

用户可以在大多数浏览器中按 control-shift-J 或使用菜单进入调试控制台并查看或修改网站上的任何内容,包括表单和 javascript 的隐藏部分。

因此,您只能从用户数据中接受他希望订购的商品列表。这些东西的价格必须位于服务器上并在服务器上计算,而不是在浏览器上。

于 2013-07-19T07:55:56.407 回答
0

您应该联系您的网上商店的开发人员。确保网站不被篡改是他的责任。如果你自己做的:不要那样做。使用由专家制作的信誉良好的网上商店。

在我的国家,这种销售可能是无效的,因为以 99 卢比的价格出售该产品可能意味着低于您的购买价格,这几乎总是非法的。但我当然不知道你的国家。

于 2013-07-19T07:45:06.590 回答
0

这是因为您在设计网站时没有考虑验证。实际的方法取决于您可能留下的漏洞。就像当他向购物车添加东西时,您可能会从发布的页面中获取商品价格,而不是再次从数据库中获取价格。找出答案的最好方法是尝试自己重复[渗透测试]。如果您无法找到该网站的链接,您可以发布该链接,以便其他人可以查看该问题(由您自行决定)。我认为这里不是 sql 注入,因为您的数据库中的价格是正确的。

于 2013-07-19T07:52:44.667 回答
0

可能有多种原因,除非有人检查您网站的代码,否则无法指出真正的原因。

您最好的选择是聘请专业人士来测试您的网站,并修复安全漏洞。

请看看这些

https://www.owasp.org/index.php/Web_Parameter_Tampering
h__ttp://www.iss.net/threats/advise42.html
http://www.mhprofessional.com/downloads/products/0071740643/01-ch01.pdf
于 2013-07-19T07:53:53.107 回答
0

确保您没有在您的网址中发布裸产品价格,这将使其更容易被篡改。考虑使用安全的 HTTPS 站点。由于送货地址无效,我无法进一步测试您的站点。

至少现在您已经掌握了链接中解释的一些信息(将信息存储在隐藏字段中的危险),以了解该人如何损害您的网站。

于 2013-07-19T09:57:16.273 回答