我正在评估 Broadleaf Commerce。
目前我有一个问题。如果我安装开箱即用的 Broadleaf Commerce,它的安全性如何?在使用开箱即用时,我需要查看哪些现有漏洞?
我浏览了文档。有人提到,SQL Injection 和 XSS 已经得到处理。但不确定到什么程度得到了处理。
我是电子商务和安全新手,因此无法评估此参数。
问问题
326 次
1 回答
3
来自官方阔叶论坛:
Broadleaf Commerce 使用基于 JPA(尤其是幕后的 Hibernate)的可扩展 ORM 策略。如果您进一步深入研究,我们将完全使用准备好的语句,并且我们根本不使用用户输入动态构建查询。这处理 SQL 注入问题。
对于 XSS,我们使用 Spring MVC 作为我们事实上的表示层引擎,甚至提供一些开箱即用的控制器来加速该领域的开发。Spring MVC 通过简单的配置通过 html 转义序列对 XSS 提供了很好的保护。该博客对此进行了更多讨论:http ://sanjaysinghloha.blogspot.com/200 ... ng_05.html。话虽如此,作为一个电子商务框架,Broadleaf Commerce 并不强制你使用 Spring MVC 创建站点。任何基于 Java 的现代 MVC 框架都应该与 Broadleaf Commerce 一起正常工作,但应注意任何 MVC 框架选择以考虑 XSS 保护。
我们的一个合作伙伴使用 Spring MVC 和 Spring Security 在 Broadleaf Commerce 上构建了他们的整个电子商务网站,并利用 S3 Security ( http://www.s3security.com ) 执行广泛的渗透测试,作为他们成功的 PCI 认证的一部分. S3 使用多种工具,其中之一是 Retina Scanner。
目前还没有发现漏洞。
恕我直言,作为渗透测试人员的观点,它似乎很安全,并且在开发时考虑到了安全性,但这并不意味着它是无懈可击的。通过实施诸如 mod_security 之类的 WAF 并了解更新,您会很顺利。
于 2013-11-28T16:01:46.390 回答