近三年來,協助過大約 20 家電商系統轉移到 OpenCart,而轉移系統的原因是,原本的系統被駭了,客戶一直接到詐騙的電話,漏洞怎麼修似乎都修不好 ...
這 20 家大約有一半的網站是 ECShop 系統,其餘的系統幾乎都來自於老牌的網路公司或電商平台,很明顯的共同點是,這些網站系統都是相當老舊的系統了。
雖然無法斷定所有網站被入侵的管道,但至少 ECShop 系統,因版本老舊缺乏更新,早就曝光了很多的安全漏洞,而這些 ECShop 系統的安全漏洞,絕大部分都是屬於 SQL Injection 類的安全漏洞,
SQL Injection 的攻擊手法其實在很久很久以前就被注意了,只不過在當時,大都是靠有安全概念的程式設計師,在程式中加入一些過濾 SQL 參數的動作,來防止 SQL Injection 的攻擊,但畢竟一套購物網站系統,實在包含太多太多接收 POST 或 GET 參數進行資料庫 CRUD 的程式,只要稍有疏漏,參數過濾不徹底,就會留下 SQL Injection 的安全漏洞。
ECShop 絕大部分的漏洞,就是屬於 SQL Injection 之類,而其他老牌網路公司開發的系統或電商平台,相信也是相同的問題,因為底下這篇資安專家的文章,也是提到 SQL Injection 一直是近幾年網站受到入侵攻擊的最常用手法 : https://www.ithome.com.tw/news/128605
較新的系統就沒有安全漏洞了嗎? 新的系統雖然不是絕對的安全,但與老舊的系統相比,是相對安全許多的,以 PHP + MySQL 的系統為例,多年前已因應 SQL Injection 的問題而發展出了不少機制,例如 PHP-MySQLi 的 Bind Column,及 PDO 的 Abstraction Layer 等等,
當系統開發採用 mySQLi 或 PDO 的資料庫連線方式時,基本上就已具有防止 SQL Injection 的能力了,另外再加上目前系統開發,皆習慣採用 PHP 的 FrameWork,而這些 FrameWork 通常都帶有過濾或跳脫不當參數(特殊符號)的能力,在雙重保險之下,現在新一代的購物網站系統,當然會比 ECShop 年代的系統安全許多許多許多。
因為老舊的系統要修補 SQL Injection 的漏洞並不是容易的事,如果您的網站已有被入侵的跡象,客戶一直反應接到詐騙電話,與其繼續讓客戶接到詐騙電話而影響商譽,不如徹底的解決問題,放棄老舊的網站系統,轉換到新一代的系統,雖然轉換系統會有一段陣痛期,但是新的系統帶來的安全性、新功能、新版型、更多的擴充功能及可用資源,也可能會讓您的網站品質及風格,晉升到主流的等級,或許是另一個脫胎換骨的好機會,所以,請不要再遲疑,盡快轉換您的系統吧!!
參考資源
台灣電商社團 https://www.twec.org/
台灣電商 FB 社團 https://www.facebook.com/groups/opencart.taiwan/
OpenCart 網站代管、客製、維護 https://www.osec.tw/
OpenCart 台灣電商技術支援粉絲頁 https://www.facebook.com/ntcart/
OpenCart 台灣優化版專頁 https://www.osec.tw/opencart.html
OpenCart 台灣中文用戶討論區 https://www.ntcart.com/