我有一个 ecom网站,我们在那里销售体育用品。从1个月开始,我发现我的网站上有可疑活动。有些人在我的网站上注册了一些垃圾细节,然后他登录并进行货到付款(COD)交易,然后他就注销了。但这里的问题是他只买了90卢比/ 200卢比就买了价值1000+的产品。我很确定他正在玩我的数据。
例如:
为方便起见,让这家伙成为SAM。
所以SAM注册到站点并登录。然后他浏览到产品 页面,产品详细信息:产品名称:ADIDAS MASTER CRICKET BAT
产品价格:11,000卢比然后他将此产品添加到购物车。填 他的运输细节。继续订购流程页面并选择 付款方式为货到付款(COD)。接下来他订购了 成功页面,他在那里得到了他的交易总结。到了这个时候 订单已准备好处理和发货。但是当我们检查我们的数据库时 订单详情我们发现订单金额为99卢比/ 200卢比。我不是 确定他在哪里以及如何玩数据。我们正在使用会话 存储所有交易细节。我们的网站是开发的 asp.net 3.0v。
请帮助了解他试图篡改数据的方式和位置。
感谢您的帮助,但仍需要更多帮助
谢谢大家的帮助,我在网站上发现了一个小故障。我们在购物车页面中使用隐藏字段帮助黑客篡改我们的数据。但现在我希望用一些安全的字段替换隐藏的字段。有人可以帮我这个。
仅供参考我的网站建立在 ASP.NET 3.0V 。
之上答案 0 :(得分:5)
您无法信任网络浏览器或用户。
包括Cookie数据,会话数据,本地存储,表单中的数据,Javascript中的计算,来自用户的任何内容。
用户可以按control-shift-J或在大多数浏览器中使用菜单进入调试控制台,查看或修改网站上的任何内容,包括表格和javascripts的隐藏部分。
因此,您只能从用户数据中接受他希望订购的商品清单。这些东西的价格必须位于服务器上并在服务器上计算,而不是在浏览器上计算。
答案 1 :(得分:0)
您应该联系网店的开发人员。他有责任确保网站不会被篡改。如果你自己做了:不要那样做。使用由专家制作的知名网上商店。
在我的国家,此次促销可能无效,因为以99卢比销售该产品可能意味着低于您的购买价格销售,这几乎总是非法的。但我当然不了解你的国家。
答案 2 :(得分:0)
这是因为您设计的网站未经考虑验证。实际的方式取决于你可能留下的漏洞。就像他在购物车中添加商品一样,您可能会从已过帐的页面中获取商品价格,而不是再次从数据库中获取价格。找出答案的最佳方法是尝试自己重复[渗透测试]。如果您无法找到以便其他人可以查看该问题,您可以将链接发布到该网站(由您自行决定)。 我认为sql注入不是一个例子,因为数据库中的价格是正确的。
答案 3 :(得分:0)
可能有多种原因,除非有人查看您网站的代码,否则无法指出真正的原因。
您最好的选择是聘请专业人士来测试您的网站,并修复安全漏洞。
请看一下这些
https://www.owasp.org/index.php/Web_Parameter_Tampering
h__ttp://www.iss.net/threats/advise42.html
http://www.mhprofessional.com/downloads/products/0071740643/01-ch01.pdf
答案 4 :(得分:0)
确保您没有在您的网址中发布裸露的产品价格,这样会更容易篡改。使用安全的HTTPS网站考虑。由于发货地址无效,我无法进一步测试您的网站。
至少现在你有一些信息,如链接中所述(隐藏字段中存储信息的危险),以弄清楚这个人是如何危害你的网站的。