241
京東賬戶集中被盜 拷問電商網站安全
本文講的是 : 京東賬戶集中被盜 拷問電商網站安全 , 【IT168 評論】最近一段時間以來發生的熱點網購安全事件要數京東賬戶餘額被盜事件了,有觀點認為是2011年底CSDN泄密事件的連鎖反應,也有網友認為這是一次新的泄密事件。究竟如何,電商網站安全性是否可以信任,電商應該如何做好網站安全,網友應該如何保障自己的權益?這次我們特別采訪了知道創宇研究總監、業界知名專家餘弦,請他和我們一起為大家解惑!
▲知道創宇研究總監餘弦
講到這次電商泄密事件的背後,餘弦說,也不一定就是CSDN泄密事件的連鎖反應,我們知道黑客活動其實一直很頻繁,隻是這段時間國內比較大的安全事件——“密碼門”事件,讓公眾更關注互聯網安全。黑客活動的核心驅動力絕大多數還是利益,尤其是對電商網站的攻擊,如釣魚的猖獗、網馬植入、直接的刷庫行為等等。京東的這次賬號餘額被盜事件應該引起同行的一致警惕,而不是隔江相望,甚至幸災樂禍取笑京東。京東自己更應該重視。
安全是一個整體,為大家熟知的漏洞風險也是電商有的,如:跨站腳本攻擊、SQL注入、係統弱口令等。不過電商網站自身的特別關注點:
1、用戶的敏感信息泄露(手機號、郵箱、家庭地址等),這樣的數據被不法分子獲取後,其實很方便進入下一步的釣魚攻擊;
2、用戶賬戶安全,用戶的密碼按照統計規律,肯定還會有大量的弱口令。用戶賬戶安全是特別應該引起電商網站的重視,比如QQ、人人網、淘寶在這方麵做的就很好,他們對用戶賬戶安全的態度值得借鑒;
3、還有小心自己的客服被社工,比如查看了電商網站某XSS漏洞的頁麵,導致客服的Cookie被盜取,甚至可以通過這個頁麵獲取到客服內網IP地址、操作係統、瀏覽器等信息。社工非常可怕,所謂的APT攻擊,找到一個最弱的突破口,然後步步為營;
4、電商在支付方麵的二次確認應該更嚴謹,可能會因為一些邏輯上的漏洞導致二次確認被繞過;
談到這次泄密事件的責任問題,餘弦說,京東肯定是有責任的,即使京東宣稱是由於用戶密碼太弱或密碼是通用的(比如在CSDN這次被爆的密碼庫裏存在)導致這起事件,京東也得付至少50%的責任。在線交易有可能因為邏輯上的變通導致根本不需要二次確認就直接將賬戶餘額消費完,完備的二次確認非常重要。不過京東已經有“獨立的支付密碼機製”:https://safe.360buy.com/user/paymentpassword/findByPin.action建議默認開啟,提醒用戶設置,而且最好“頻繁”提醒用戶設置,否則很多用戶根本不會這樣做。那賬號又被黑,用戶還會把責任怪到京東身上。
總結這次京東賬戶泄密事件,餘弦談到了幾點做好電商網站安全的辦法:
1、一個完善的用戶賬戶安全機製。比如提醒用戶弱口令風險,甚至可以綁定手機號,當有用戶密碼變更、用戶賬號異常登錄、異常支付、被異常暴力登錄等都短信通知用戶,當然通知機製是用戶可配的。
2、一個完善的支付二次確認機製。功能可能是有,可是用戶不知道,那就等於沒有,所以第一目標是告訴用戶:“我有這個功能,而且很重要!”還有就是千萬不要出現低級的邏輯繞過缺陷。
3、HTTPS來保證數據安全傳輸。我們知道開啟全站HTTPS肯定會影響頁麵的響應速度,但是至少和“賬戶安全”有關的頁麵應該開啟HTTPS,小心的就是局域網抓包。然後嚴謹處理好Cookie的安全性,比如身份認證相關的Cookie信息使用Httponly標誌,這點保證了XSS得到Cookie也無法利用。更關鍵的Cookie設置Secure標誌保證僅在HTTPS協議上傳輸。
4、一個良好的子域分離設計。千萬不要所有的業務功能都一籮筐的放在一個www域下,這樣會很慘,而且也不利於網站的業務擴展。比如來一個www域下的XSS,那就差不多可以搞定用戶在整個網站的所有權限。這點其實電商網站都還做的不錯。
5、最後一點至關重要:請重視電商網站自己的安全部門/組,安全應該跟隨業務一起發展起來,早投入安全部門的建設,不會到了出安全問題了,亂投醫。
對於用戶,餘弦表示,要想保障自己的賬戶安全首先要有很強的安全意識。這段時間所發生的安全事件其實還是有很多正麵作用,讓用戶更加注重自己的賬戶安全,重要密碼千萬不要通用,不要來個弱口令等。技術人可能會使用Firefox瀏覽器+noscript插件來防禦一些危險的腳本攻擊,還有很多輔助機製,但是普通用戶就做不到了。不過多經過媒體的曝光,用戶慢慢的就會意識到了,慢慢來,其實也是一種進步,這樣就夠了。用戶需要被引導,所以無論是電商網站、媒體等都需要不斷的進行提示,讓用戶的賬戶安全無形中越來越好。
隨著使用智能手機的用戶越來越多,電商也開始重視起移動終端,這種基於移動互聯網的網購體驗給用戶帶來了前所未有的便利,也刺激了電商的銷售利潤。但是移動終端的安全也必須引起關注了。主業務功能可能足夠安全了,但是如果在移動互聯網端出現了缺陷,那整體還是不安全,比如手機上的應用,數據的安全、邏輯等可能就是另一套模型了。這套模型如果出現問題(比如:更弱的認證機製甚至是認證缺陷、儲存明文密碼在本地、更簡單的支付邏輯校驗導致出現支付漏洞等)那還是不行的。餘弦談到,其實這就需要設計這項業務的團隊具備足夠的安全意識與經驗,並且還要有更積極的態度配合好國內一批白帽子安全人員的反饋與建議也是很重要的。
kaduo
最後更新:2017-10-18 11:33:46