由于電商網(wǎng)站直接涉及金錢交易，其本身安全性至關(guān)重要。網(wǎng)站只有自身安全了，才能保證普通網(wǎng)民在此做金錢交易的時候，不發(fā)生安全問題。又到了每年的網(wǎng)購高峰期了，看著那一個一個不斷刷新紀錄的銷售額，你很難不為網(wǎng)購的力量而驚嘆。但在這背后，存在哪些安全問題呢?普通網(wǎng)民如何保證自己在網(wǎng)購中的安全性呢?

以下是筆者以淘寶、京東和蘇寧為例，對國內(nèi)影響力最大的漏洞報告平臺wooyun上相關(guān)信息所做的相關(guān)統(tǒng)計。

一、淘寶漏洞情況

淘寶號稱亞洲最大、最安全的網(wǎng)上交易平臺。雙11最耀眼的網(wǎng)購平臺taobao在wooyun上被提交的漏洞，在電商上算得上是最多的?；蛟S是樹大招風吧，對其感興趣的白帽子也很多，所以導致平臺上taobao的漏洞多于其他電商。但是國內(nèi)電商平臺本身的安全性來講，我相信淘寶其平臺本身肯定是最好的。來看一下淘寶網(wǎng)的漏洞統(tǒng)計：

xss漏洞

xss漏洞是指攻擊者可在對方網(wǎng)站插入自己可供的一段js代碼，從而控制瀏覽者的瀏覽器的部分權(quán)限。xss的危害通常在sns社區(qū)中顯現(xiàn)出來，有人會拿來做惡作劇、做蠕蟲，對用戶形成騷擾，產(chǎn)生垃圾信息。有人會拿來誘惑用戶點擊攻擊鏈接，從而盜取用戶身份。

在網(wǎng)購平臺上來講，最大的利用當屬釣魚購物，這種可以直接轉(zhuǎn)化為利益的攻擊方式：

從wooyun上的一個案例中可窺探一下針對taobao做黑產(chǎn)的一角：

 WooYun: Taobao站內(nèi)有Xss蠕蟲蔓延

 幾個含金量很高的xss技巧：

 WooYun: 淘寶網(wǎng)utf-7代碼注入跨站漏洞

WooYun: 淘寶網(wǎng)COOKIES盜取[flash編程安全+apache http-only cookie 泄漏利用]

WooYun: 淘寶主域名下多處Dom XSS

WooYun: 一個flash的0day導致的淘寶網(wǎng)存儲xss 【續(xù)集】

 url跳轉(zhuǎn)

url跳轉(zhuǎn)漏洞的介紹見此：

http://drops.wooyun.org/papers/58

 url跳轉(zhuǎn)同樣是經(jīng)常被用來釣魚。

通過跳轉(zhuǎn)繞過阿里旺旺的釣魚網(wǎng)址檢測系統(tǒng)：

 WooYun: 淘寶網(wǎng)釣魚最新過旺提示（淘寶釣魚的福音）

 釣魚的其他手段

在廠商已經(jīng)把安全性做了很好的前提下，仍然不能保證網(wǎng)民一定不會被釣魚。

下面看看一些其他的釣魚手段：

釣魚淘寶賣家，收集密碼的后臺被白帽子拿下上報wooyun

WooYun: 淘寶賣家遭釣魚大量店長中招（釣魚后臺揭秘）

 這個style使用的讓人眼前一亮：

WooYun: 淘寶網(wǎng)一處另類釣魚

程序設(shè)計缺陷

 WooYun: 淘寶第三方應(yīng)用權(quán)限驗證錯誤(可修改19.8萬店鋪任意寶貝標題)

WooYun: 來往導致淘寶賬號可被破解波及余額寶支付寶

WooYun: 天貓積分支付缺乏二次驗證（本人已被盜）

修改ccs樣式修改商品的信息，人才?。?/p>

 WooYun: 利用css淘寶網(wǎng)商品信息任意修改

WooYun: 手機淘寶網(wǎng)session劫持，可進一步發(fā)展為蠕蟲

WooYun: 淘網(wǎng)址sina oauth認證登錄漏洞

 這種支付的漏洞，真沒想到taobao也會有：

WooYun: 淘寶網(wǎng)某處存在嚴重支付漏洞

WooYun: 淘寶網(wǎng)，任何人可隨意拿走任意店鋪、任意商品信息

業(yè)務(wù)邏輯

 WooYun: 淘寶應(yīng)用釣魚

WooYun: 淘寶賣家0元加入消保，并且點亮消保圖標，不用話1000元了

WooYun: 淘寶貨到付款騙局

 客戶端問題

 WooYun: 阿里旺旺的一個遠程任意代碼執(zhí)行漏洞（發(fā)送消息即中）

WooYun: 淘寶瀏覽器3.0.2.604修改配置可能導致本地的DLL注入

WooYun: 淘寶應(yīng)用iphone設(shè)計缺陷可無限制猜試密碼

WooYun: 淘寶android手機客戶端登陸信息可被鍵盤記錄

 服務(wù)器配置問題

WooYun: 淘寶網(wǎng)某應(yīng)用svn信息導致代碼泄露

WooYun: 淘寶某分站存在nginx解析漏洞

WooYun: 阿里旺旺域名列目錄

WooYun: 淘寶網(wǎng)dns域傳送泄露漏洞

信息泄露

 WooYun: 淘寶店鋪匿名評論簡單獲得匿名買家ID

WooYun: 淘寶solr暴露在外網(wǎng)

WooYun: 淘寶網(wǎng)Minebdb系統(tǒng)未做權(quán)限認證

WooYun: (新) 淘寶網(wǎng)成交記錄用戶ID泄露漏洞(附上掃號程序)

WooYun: 淘寶網(wǎng)成交記錄用戶ID泄露漏洞

WooYun: 淘寶某系統(tǒng)未授權(quán)訪問及目錄瀏覽

WooYun: 淘寶首頁爆出絕對路徑

 能猜到這個地址，我只想說，人才：

WooYun: 淘寶某分站存在cookie泄漏問題

WooYun: 淘寶后臺兩枚

web程序其他漏洞

 WooYun: 淘測試某兩處盲注

WooYun: 淘測試多處SQL注入及任意文件上傳BUG

struts惹的禍：

struts這個框架近幾年被爆多次遠程代碼執(zhí)行漏洞，導致很多使用改框架的公司受害：

 WooYun: 疑似淘寶內(nèi)部某業(yè)務(wù)命令執(zhí)行

WooYun: 淘寶某分站最新Struts命令執(zhí)行漏洞一枚

WooYun: 淘寶某業(yè)務(wù)存在命令執(zhí)行

WooYun: 淘寶某分站最新Struts命令執(zhí)行漏洞又一枚

 其他

即使平臺本身沒有問題，也會有人做各種釣魚的頁面，采用各種手段來騙取網(wǎng)購用戶在其制作的假網(wǎng)站中消費，騙取錢財。

針對taobao的釣魚程序：

WooYun: 一套淘寶釣魚程序

 下面是taobao廠商的部分回復內(nèi)容：

感謝反饋。 這類問題不在淘寶控制范圍內(nèi)，我們沒辦法限制他的產(chǎn)生，但一直在盡力控制釣魚鏈接對用戶產(chǎn)生的危害： 1. 我們會在旺旺聊天信息中提示風險，同時建議用戶不在旺旺以外的IM軟件中談淘寶相關(guān)的交易。 2. 我們會對IM旺旺和會員反饋進行監(jiān)控，結(jié)合各類檢測模型，盡量在第一時間發(fā)現(xiàn)新產(chǎn)生的釣魚鏈接，在IM中進行封禁。 3. 我們積極與外部廠商(瀏覽器、殺毒軟件、安全管理軟件等)合作，將釣魚鏈接信息同步，起到更好的保護作用。 4. 我們將馬上上線一個釣魚鏈接在線舉報平臺，歡迎各位積極舉報。

還有最近被公開很火的針對路由使用默認密碼 

WooYun: 雙十一淘寶論壇驚現(xiàn)“路由器CSRF”惡意攻擊代碼（其他論壇可能一樣中招）

 淘寶問題總結(jié)

以上漏洞并未列出全部的漏洞，但代表了一些比較典型的問題。

淘寶業(yè)務(wù)較多，邏輯復雜，出現(xiàn)了struts命令執(zhí)行等獲得服務(wù)器的漏洞，以及泄露匿名用戶信息，支付漏洞以及xss，url跳轉(zhuǎn)可被釣魚的漏洞等。

#p#

二、京東漏洞情況

京東商城定位是專業(yè)的數(shù)碼網(wǎng)上購物商城。由于京東線上業(yè)務(wù)邏輯遠沒有淘寶那么復雜，所以漏洞總數(shù)在wooyun上并不如taobao多。但是漏洞的嚴重程度，遠大于taobao。從漏洞的忽略程度來看，可能與京東2012年剛組建安全團隊有關(guān)。但我們也看到，京東對安全問題逐漸重視。京東漏洞情況分述如下：

Xss

也有很多，此處不一一列舉了。

安全事件

 WooYun: 360buy京東商城內(nèi)部網(wǎng)絡(luò)被滲透

 程序邏輯

 WooYun: 京東物流后臺未授權(quán)訪問可以修改收貨狀態(tài)（刷返券）

WooYun: 京東某系統(tǒng)頁面未授權(quán)可查詢?nèi)我庥唵闻渌蜖顟B(tài)

WooYun: 京東商城用戶資料完全泄漏

WooYun: 京東商城<39元商品不交運費

 URL跳轉(zhuǎn)

 WooYun: 京東商城跳轉(zhuǎn)漏洞（嚴重

WooYun: 京東商城分站存在跳轉(zhuǎn)漏洞

 信息泄露

 WooYun: 京東敏感信息泄露

WooYun: 京東商城主站存在信息泄漏洞

 客戶端問題

WooYun: 京東商城android客戶端缺陷導致欺騙

 SQL注入

 WooYun: 京東團購網(wǎng)SQL注射，可獲取用戶信息。

WooYun: 京東商場某分站SQL注射

struts

京東從.net轉(zhuǎn)向java，使用的struts，被坑慘了：

 服務(wù)器配置

 WooYun: 京東奢侈品商城解析漏洞

 邏輯問題

 WooYun: 京東某活動邏輯缺陷導致可刷京豆

 京東問題總結(jié)

總體來說，京東存在的大大小小的安全問題也不少，但是相對于以前，已經(jīng)對安全重視很多。希望京東內(nèi)部能夠更加重視安全。

#p#

 三、蘇寧易購漏洞情況

蘇寧易購，是蘇寧電器集團的新一代B2C網(wǎng)上商城，于2009年8月18日上線試運營。其漏洞情況如下： 

sql注入 

WooYun: 蘇寧某分站存在sql注入漏洞

WooYun: 蘇寧官網(wǎng)建黨工作SQL注入漏洞

WooYun: 蘇寧某站點SQL注入漏洞

WooYun: 蘇寧某系統(tǒng)登錄處SQL注射漏洞

WooYun: 蘇寧一處SQL注入 Root權(quán)限

WooYun: 蘇寧易購某分站SA權(quán)限SQL注入，可shell可滲透

WooYun: 蘇寧某站點SQL注射

WooYun: 蘇寧某二級配置錯誤大量信息泄露+SQL注射

WooYun: 蘇寧某注冊接口SQL盲注漏洞+XSS

WooYun: 蘇寧易購某分站盲注

WooYun: 蘇寧易購某DB2盲注

WooYun: 蘇寧易購某分站注謝可得到用戶聯(lián)系方式等重要信息

 程序邏輯 

WooYun: 蘇寧易購某云產(chǎn)品缺陷可造成他人信息泄露

WooYun: 蘇寧易購某站越權(quán)操作及缺陷

WooYun: 蘇寧易購的半個支付漏洞

WooYun: 再爆蘇寧某站點重大漏洞

WooYun: 蘇寧易購電話充值信息泄露

 比較嚴重的問題 

WooYun: 蘇寧某分站弱口令可控189萬用戶信息

WooYun: 蘇寧某分站存在可被入侵風險（機房內(nèi)網(wǎng)可被滲透）

WooYun: 蘇寧某子站任意密碼修改

WooYun: 蘇寧易購的幾個嚴重安全漏洞合集（任意文件讀取，任意命令執(zhí)行）

WooYun: 蘇寧漏洞大禮包一份 （Shell+跨盤任意下載+內(nèi)部平臺數(shù)據(jù)庫+上萬份內(nèi)部文件任意瀏覽...）

WooYun: 蘇寧某站點服務(wù)器淪陷 

支付漏洞 

WooYun: 蘇寧某站點存在嚴重漏洞 

蘇寧易購問題總結(jié)

蘇寧易購安全性做得一般，大小安全問題不少。

總結(jié)

從烏云漏洞平臺上可以看到，無論大小電商，多多少少都存在些問題。淘寶的電商平臺擁有專業(yè)的安全團隊，但是由于業(yè)務(wù)過多，依然可能存在可被獲取服務(wù)器權(quán)限的漏洞。其他電商網(wǎng)站有的剛配上專業(yè)安全團隊，有的可能對安全的重視程度還有限，尚未配專業(yè)安全團隊，但大都在努力保證其安全性。包括淘寶在內(nèi)的一些互聯(lián)網(wǎng)公司也在努力對網(wǎng)民做釣魚的防范意識教育，全面保證網(wǎng)民在網(wǎng)購中的安全性。希望各電商能與白帽子共同努力，共同推動電商平臺變得更加安全。