本文讲的是 : 京东账户集中被盗 拷问电商网站安全 , 【IT168 评论】最近一段时间以来发生的热点网购安全事件要数京东账户余额被盗事件了,有观点认为是2011年底CSDN泄密事件的连锁反应,也有网友认为这是一次新的泄密事件。究竟如何,电商网站安全性是否可以信任,电商应该如何做好网站安全,网友应该如何保障自己的权益?这次我们特别采访了知道创宇研究总监、业界知名专家余弦,请他和我们一起为大家解惑!
▲知道创宇研究总监余弦
讲到这次电商泄密事件的背后,余弦说,也不一定就是CSDN泄密事件的连锁反应,我们知道黑客活动其实一直很频繁,只是这段时间国内比较大的安全事件——“密码门”事件,让公众更关注互联网安全。黑客活动的核心驱动力绝大多数还是利益,尤其是对电商网站的攻击,如钓鱼的猖獗、网马植入、直接的刷库行为等等。京东的这次账号余额被盗事件应该引起同行的一致警惕,而不是隔江相望,甚至幸灾乐祸取笑京东。京东自己更应该重视。
安全是一个整体,为大家熟知的漏洞风险也是电商有的,如:跨站脚本攻击、SQL注入、系统弱口令等。不过电商网站自身的特别关注点:
1、用户的敏感信息泄露(手机号、邮箱、家庭地址等),这样的数据被不法分子获取后,其实很方便进入下一步的钓鱼攻击;
2、用户账户安全,用户的密码按照统计规律,肯定还会有大量的弱口令。用户账户安全是特别应该引起电商网站的重视,比如QQ、人人网、淘宝在这方面做的就很好,他们对用户账户安全的态度值得借鉴;
3、还有小心自己的客服被社工,比如查看了电商网站某XSS漏洞的页面,导致客服的Cookie被盗取,甚至可以通过这个页面获取到客服内网IP地址、操作系统、浏览器等信息。社工非常可怕,所谓的APT攻击,找到一个最弱的突破口,然后步步为营;
4、电商在支付方面的二次确认应该更严谨,可能会因为一些逻辑上的漏洞导致二次确认被绕过;
谈到这次泄密事件的责任问题,余弦说,京东肯定是有责任的,即使京东宣称是由于用户密码太弱或密码是通用的(比如在CSDN这次被爆的密码库里存在)导致这起事件,京东也得付至少50%的责任。在线交易有可能因为逻辑上的变通导致根本不需要二次确认就直接将账户余额消费完,完备的二次确认非常重要。不过京东已经有“独立的支付密码机制”:http://safe.360buy.com/user/paymentpassword/findByPin.action建议默认开启,提醒用户设置,而且最好“频繁”提醒用户设置,否则很多用户根本不会这样做。那账号又被黑,用户还会把责任怪到京东身上。
总结这次京东账户泄密事件,余弦谈到了几点做好电商网站安全的办法:
1、一个完善的用户账户安全机制。比如提醒用户弱口令风险,甚至可以绑定手机号,当有用户密码变更、用户账号异常登录、异常支付、被异常暴力登录等都短信通知用户,当然通知机制是用户可配的。
2、一个完善的支付二次确认机制。功能可能是有,可是用户不知道,那就等于没有,所以第一目标是告诉用户:“我有这个功能,而且很重要!”还有就是千万不要出现低级的逻辑绕过缺陷。
3、HTTPS来保证数据安全传输。我们知道开启全站HTTPS肯定会影响页面的响应速度,但是至少和“账户安全”有关的页面应该开启HTTPS,小心的就是局域网抓包。然后严谨处理好Cookie的安全性,比如身份认证相关的Cookie信息使用Httponly标志,这点保证了XSS得到Cookie也无法利用。更关键的Cookie设置Secure标志保证仅在HTTPS协议上传输。
4、一个良好的子域分离设计。千万不要所有的业务功能都一箩筐的放在一个www域下,这样会很惨,而且也不利于网站的业务扩展。比如来一个www域下的XSS,那就差不多可以搞定用户在整个网站的所有权限。这点其实电商网站都还做的不错。
5、最后一点至关重要:请重视电商网站自己的安全部门/组,安全应该跟随业务一起发展起来,早投入安全部门的建设,不会到了出安全问题了,乱投医。
对于用户,余弦表示,要想保障自己的账户安全首先要有很强的安全意识。这段时间所发生的安全事件其实还是有很多正面作用,让用户更加注重自己的账户安全,重要密码千万不要通用,不要来个弱口令等。技术人可能会使用Firefox浏览器+noscript插件来防御一些危险的脚本攻击,还有很多辅助机制,但是普通用户就做不到了。不过多经过媒体的曝光,用户慢慢的就会意识到了,慢慢来,其实也是一种进步,这样就够了。用户需要被引导,所以无论是电商网站、媒体等都需要不断的进行提示,让用户的账户安全无形中越来越好。
随着使用智能手机的用户越来越多,电商也开始重视起移动终端,这种基于移动互联网的网购体验给用户带来了前所未有的便利,也刺激了电商的销售利润。但是移动终端的安全也必须引起关注了。主业务功能可能足够安全了,但是如果在移动互联网端出现了缺陷,那整体还是不安全,比如手机上的应用,数据的安全、逻辑等可能就是另一套模型了。这套模型如果出现问题(比如:更弱的认证机制甚至是认证缺陷、储存明文密码在本地、更简单的支付逻辑校验导致出现支付漏洞等)那还是不行的。余弦谈到,其实这就需要设计这项业务的团队具备足够的安全意识与经验,并且还要有更积极的态度配合好国内一批白帽子安全人员的反馈与建议也是很重要的。
原文发布时间为:2015年7月6日
本文作者:kaduo
本文来自云栖社区合作伙伴IT168,了解相关信息可以关注IT168
原文标题 :京东账户集中被盗 拷问电商网站安全
