双十一的硝烟还未散尽,双十二就要来了。每逢节日期间,各大电商网站交易量暴涨,用户蜂拥而至抢购商品。那么这些电商平台的安全性如何?
据不完全统计,乌云平台自成立以来,已收集到的电商平台漏洞总数达 1169 个,其中 2015 年电商平台漏洞数为 414 个,相比于 2014 年,漏洞总数上涨了68.98%。对于安全工程师们来说,则需要加班加点保障网站的稳定性和安全性。数千亿的消费额,让所有的电商平台工程师,对安全问题不敢有一丝怠慢。
根据 Gartner 的报告,超过 80% 的攻击是以应用层为目标的,而大多数破坏活动是通过应用程序进行的。他们发现,软件提供商对应用程序安全防护的投 入普遍不足。Gartner 专家指出周界安全防护费用与应用程序安全防护费用之比为 23:1。在一个完美的模型中,开发人员的开发生命周期 ( SDLC ) 应当符合安全防护标准,从而开发出安全的软件。现实却并非如此,迭代开发和快速部署的流行,让电商平台正在经受重重考验。
让我们先看一个比较普遍的漏洞,拒绝服务漏洞:Parse Double,目前还有不少平台在采用较老的 Java 版本,所以此类漏洞还时有发生。
拒绝服务漏洞是在一些遗留系统中仍然存在的老错误,在 Windows 与 Linux 的 JDK1.6_23 及更早 JDK1.5_27 及更早 JRE 1.4.2_29 及更早的版本中都存在这一漏洞。对于使用 Apache Tomcat 服务器的系统,若其 JRE 比较脆弱,未经授