我正在评估Broadleaf Commerce。
目前我有一个问题。如果我安装Out-Of-Box Broadleaf Commerce有多安全?在开箱即用时我需要看到哪些现有漏洞?
我去了文档。有人提到,SQL注入和XSS已经得到了关注。但不确定在多大程度上已经得到了解决。
我是电子商务和安全新手,因此无法评估此参数。
答案 0 :(得分:3)
来自官方的Broadleaf论坛:
Broadleaf Commerce使用基于JPA的可扩展ORM策略(特别是幕后的Hibernate)。如果您进一步向下钻取,我们完全使用预准备语句,并且我们不会使用用户输入动态构建查询。这涉及SQL注入问题。
对于XSS,我们利用Spring MVC作为表示层的事实上的引擎,甚至提供一些开箱即用的控制器来加速该领域的开发。 Spring MVC通过简单的配置通过html转义序列提供了对XSS保护的强大支持。这篇博客更多地讨论了它:http://sanjaysinghloha.blogspot.com/200 ... ng_05.html。话虽如此,作为电子商务框架,Broadleaf Commerce并不强迫您使用Spring MVC来创建网站。任何现代的基于Java的MVC框架都应该可以与Broadleaf Commerce一起使用,但是应该注意任何MVC框架选择来考虑XSS保护。
我们的一个合作伙伴使用Spring MVC和Spring Security在Broadleaf Commerce上构建了他们的整个电子商务网站,并利用S3 Security(http://www.s3security.com)作为其成功的PCI认证的一部分进行广泛的渗透测试。 S3使用多种工具,其中一种是Retina Scanner。
到目前为止尚未发现任何漏洞。
恕我直言作为一个渗透测试者的观点,看起来非常安全并且考虑到了安全性,但这并不意味着它是无懈可击的。通过实施诸如mod_security的WAF并了解更新,您将很高兴。