今天在讨论所做项目的安全性时提到了这样一个问题,如下:
在一个电商网站如果是一个黑客有意在电商网站的订单提交界面修改商品的价格信息,然后把该信息传到后台组织输入到数据库中,这样的违规操作是不是可行,是否存在?
在网上寻觅了好长时间,也没见到一些有价值的文献,因而想把问题在这儿表述清楚,希望能够得到相关高手的帮忙。
初分析了一下这样的安全性是存在的,想到一个很极端的例子就是把提交订单的商品价格改为¥0.00,这种行为可以视为玄武扬威,不在乎要在你的网站上下一个单子赚多少money,而是告诉你,你做的网站存在这样的漏洞,玩你!这种行为看似可以作为对电商网站运营者的警告。还有一种可能是这样的,假如一个上万元的产品,差个几百块钱的消减价格是不容易被商家发现的,假如商家发现了,可能已损失严重。
这是一种假想,首先应该确信这种可能的存在,但是更要想想这种情况存在的可能性有多大。在网上寻觅了好长时间的资料,发现浅谈安全性的是没有提到这一块儿的内容,不知是自己定位的方向不对,还是本身这种作弊的行为是微乎其微。恰借现在有这方面的需求所以就在考虑这样的问题。但是究竟怎么来描述现在的问题,只是心里明白,却没法组织表达的更清楚,还望51博客的专家们能明白我表述的这种现象,希望能得到你们的帮助。
