攻击类型

SQL注入、XSS跨站脚本攻击、任意文件读取、CSRF攻击、远程拒绝服务类攻击（DDoS）、

jiasale电商支付系统重要漏洞，卖家损失巨大

漏洞触发场景：
1、在含有jiasale的网站，购买商品下订单
2、记录订单号
3、登录任意一个jiasale网站账户，通过特殊链接可以随意的更改价格，完成支付。比如把999元的改成0.01元
4、如果是自动发卡的，自动发货的，可以直接收到商品。
5、不管是商业用户，还是普通用户，都收到此影响。

分析及解决：
这种漏洞属于低级漏洞，支付接口对接时不应该接收前端页面关于价格的信息，也不应该开放一个页面允许用户去修改订单信息特别的是订单的金额。其次对接支付接口的时候，异步或者同步返回的信息除了做支付平台提供的认证校验，还要最少做订单号和订单金额的校验。

游戏电商类网站的支付漏洞

漏洞触发场景：
　　第一步：骗子在网站a上注册会员。人工或者使用自动程序，在网站a上获取下单，得到订单号;
　　第二步：骗子把订单支付网址发给被骗者，诱导被骗者支付。被骗者访问支付网址，就会跳转到第三方支付平台，接着进入网上银行支付货款。支付成功后，就等于花钱替骗子买了东西。
　　第三步：骗子瞬间把买到的东西挥霍一空。

分析及解决：
网站a没有检测到下单者和支付者不是同一个人，也没有开发开关及时冻结骗子会员账号。
网易宝的解决思路：购物对用户来说，主要分为下单、支付两个操作环节。比较用户下订单时的ip地址和支付后返回网站时的ip地址是否相同。如果两个ip地址不一样。那么就可以肯定下单和支付不是同一个人，就可以自动封禁该会员，禁止该会员对账户的操作权限。如果ip地址一样，可以判定是同一个人，应该不是异常单子。

但是对于大部分网商系统来说，支付页面都是有权限控制的，必须用户登录系统方可支付，所以这类漏洞出现的概率较低。

怎么抵御DDOS

对付DDOS是一个系统工程，想仅仅依靠某种系统或产品防住DDOS是不现实的，可以肯定的是，完全杜绝DDOS目前是不可能的，但通过适当的措施抵御90%的DDOS攻击是可以做到的，基于攻击和防御都有成本开销的缘故，若通过适当的办法增强了抵御DDOS的能力，也就意味着加大了攻击者的攻击成本，那么绝大多数攻击者将无法继续下去而放弃，也就相当于成功的抵御了DDOS攻击。以下几点是防御DDOS攻击几点：
1、采用高性能的网络设备
2、尽量避免NAT的使用
3、充足的网络带宽保证
4、升级主机服务器硬件
5、把网站做成静态页面
6、增强操作系统的TCP/IP栈
7、安装专业抗DDOS防火墙
8、限制IP操作的间隔。（这个做法在淘宝和京东上都有很明显的痕迹，相当于牺牲用户体验换取服务器安全的做法）

案例回顾

在互联网金融方面，目前主要有以下几种类型的漏洞状况：
( 摘录自：http://tanhaisheng.baijia.baidu.com/article/170646 )
（1）权限越权操作
主要是由于不安全对象引用和功能级别访问控制缺失所导致，比如说“越级上报”，最近新出的一个安全漏洞即华安保险网上理赔系统后台JBoss无验证导致上传webhshell，远程脚本执行敏感信息泄露，就属于这种越权操作的行为，当然此行为有时会是黑客所为，有时却是金融系统管理不善导致。
1）上传的文件不可执行，限定文件格式。
2）项目目录不可直接访问。

（2）用户密码重置
网上办理业务时密码被盗取，银行里的钱不翼而飞，这种情况通常与密保电话、密保邮箱等密码被盗取有关。许多的金融业务的平台都存在“动态密码”，即用户输入手机或是邮箱时，因为某些系统的保密性不足，手机号码和相关用户名等信息被窃取和重置，给用户带来损失。
1）关键信息替换时，需要经过用户人工干预这一流程，这样就没法被批量或者被脚本更新。

(3)信息泄露
信息泄露是互联网安全漏洞频发的主要原因。在一些网上银行、互联网保险业务等行业里，经常会要求在网上输入用户的个人相关信息，如果某些信息在审查过程中监管不到位，那么这样的信息泄露事件就非常容易发生。

非IT背景出身的老板，不了解资深IT存在的价值，各位同学，道不同不相为谋！

关于网站漏洞的案例和解决思路相关推荐

网站漏洞安全测试具体渗透思路分析
渗透测试这些是经常谈到的问题了,我觉得当有了渗透接口测试之后你就会发现渗透测试这一方面也就是:1.基本漏洞测试:2.携带"低调"构思的心血来潮:3.锲而不舍的信念.我们SINE安全 ...
django.core.exceptions.FieldError: Unknown field(s)此类错误案例与解决思路
django.core.exceptions.FieldError: Unknown field(s) (tester, case_sum, operator) specified for Proje ...
网站访问慢解决思路详细图解
老男孩老师讲授网站访问慢解决思路思想,感谢21期的李同学图解呈现,此图才能与大家见面! 如果看着小,单击还原大图,可清晰查看!本图为亿图制作:亿图使用技巧: http://v.youku.com/v_ ...
对苹果maccms网站漏洞进行修复解决过程
目前苹果CMS官方在不断的升级补丁,官方最新的漏洞补丁对于目前爆发的新漏洞没有任何效果.更新补丁的用户网站还是会遭受到挂马的攻击,很多客户因此找到我们SINE安全寻求网站安全技术上的支持,针对该漏洞我 ...
如何查找APP漏洞并渗透测试解决网站被黑客攻击
APP渗透测试目前包含了Android端+IOS端的漏洞检测与安全测试,前段时间某金融客户的APP被黑客恶意攻击,导致APP里的用户数据包括平台里的账号,密码,手机号,姓名都被信息泄露,通过老客户的介 ...
JSP空间网站上传后发生404解决思路
试用jsp空间后有很大一部分用户把网站上传好后,一访问发现是404错误,今天我们就探讨下404的解决思路,! 首先要明白什么样子的情况下TOMCAT会发生404错误! 发生404的可能的原因: 1:请 ...
oracle强制拉库跳过recovery,学习笔记:Oracle坏块数据库recover恢复时遇到坏块的解决思路案例...
天萃荷净 recover遇到坏块处理本质探讨,记录一次在Oracle数据库recover恢复过程中,遇到数据库坏块无法恢复的解决思路案例如果在还原出来的数据文件中有坏块,而归档日志和联机日志是正常的 ...
网站漏洞检测及解决办法
很多网站可能或多或少存在下面几个漏洞: SQL注入漏洞跨站脚本攻击漏洞登陆后台管理页面 IIS短文件/文件夹漏洞系统敏感信息泄露下面说下网站漏洞检测的步骤及内容方法: 这些安全性测试,据了解一 ...
wx.getLocation接口申请失败失败原因总结解决思路解决方案案例
wx.getLocation接口申请失败失败原因总结解决思路解决方案案例目录 wx.getLocation接口申请失败失败原因总结解决思路解决方案案例一.添加类目和设置主营类目 ( ...

关于网站漏洞的案例和解决思路