(二)国内团购网站常见漏洞TOP10统计

360针对289家团购网站的检测发现，国内团购网站中最常见的漏洞是跨站脚本漏洞，共177家网站出现了426个跨站脚本漏洞;危害最严重的则是SQL注入漏洞，共56家网站存在139个SQL注入漏洞。

以下是一个跨站脚本漏洞示例：

以下是一个SQL注入漏洞示例：

根据漏洞出现的网站比例排序，国内团购网站常见漏洞TOP10统计如下：

需要特别指出的是，41.5%的团购网站存在团购程序漏洞，具体为“最土”、“天天团购”程序UC接口uc_key未初始化漏洞，占所有使用“最 土”、“天天团购”程序的网站比例为64.4%。究其原因，说明国内多数团购网站安全意识欠缺，忽视了升级团购程序版本来修复漏洞。而且该漏洞的危害也非 常大，可能导致黑客无需密码就以网站管理员身份登录，或随意登录其他用户的帐号(在获取他人帐号名的情况下)，篡改网站内容或窃取他人的消费凭据。

(三)典型的团购网站安全检测报告示例

以360网站安全检测平台针对某团购网站的检测报告为例，说明网站漏洞情况和处理方案：

经某团购网站授权，360网站安全检测平台在9月17日扫描发现该网站存在30个漏洞，包括4个高危级别漏洞、17个警告级别漏洞，以及9个提示级别漏洞;

具体漏洞描述和修复建议如以下例所示：

第二章 团购网站漏洞会导致哪些风险

由于网站漏洞的触发需要特定的场景，在黑客针对网站的实际攻击行为中，通常会组合利用多种不同类型的漏洞，包括运用社会工程学手段、弱口令破解等方式，达到其入侵和渗透目的。

比如高危级别的“SQL注入漏洞”和警告级别的“本地路径暴露”，如果有网站同时存在这两个漏洞，黑客就有可能在网站服务器上运行脚本后门程序，随 意篡改网站内容;如果服务器操作系统又存在本地提权漏洞，黑客又可以利用漏洞使脚本后门获得系统最高权限，这意味着网站服务器的硬盘也可能被黑客格式化。

下文将以漏洞影响为依据，分析哪些具体的团购业务可能受到网站漏洞的威胁。

(一)用户密码和消费凭据泄露

在团购网站漏洞中，SQL注入漏洞是目前影响最大的漏洞之一。利用该漏洞，黑客可能读取网站数据库，获得注册用户的帐号和密码。此前有微博传言称，国内某团购网站用户数据库被黑客“刷库”。由于19.4%的团购网站存在SQL注入漏洞，这种风险确实存在。

更为严重的是，团购网站的帐号和密码通常是网民的常用邮箱和密码。这类用户数据如果泄露，很可能被黑客利用在网上支付平台进行试探，如果恰好有人在网上支付平台和团购网站使用了相同的注册邮箱和密码，网上支付账户的余额就会被黑客盗取。

因此对于团购网站来说，不仅需要修复网站漏洞，还应对重要的用户数据进行加密处理，降低用户蒙受损失的风险;对网民来说，则应避免使用同一套帐号密码，而是要按照帐号重要程度对密码进行分级管理。

另一项不容忽视的风险是，有些网站漏洞一旦被黑客利用，可使黑客登录他人的团购帐号，例如团购程序漏洞、跨站脚本漏洞、CRLF注入HTTP响应拆 分漏洞等。我们知道，团购商品包括许多本地化的消费，例如餐饮、电影票等，只需凭团购券号即可消费，这些消费凭据泄露的可能性也同样存在。

(二)团购内容被篡改

在热衷于攻击网站的黑客群体中，部分黑客习惯篡改网页，留下入侵标识进行炫耀。在搜索引擎搜索hacked by ，仅中文网页的搜索结果就有数十万条。

对于团购网站来说，如果网页被黑客篡改，其结果将严重影响用户对交易安全的信任感，造成客户流失;此外，团购网站页面内容和业务关联紧密，如果商品页面信息、甚至商品价格被他人恶意篡改，比如价值100元的商品被黑客恶作剧式修改为1元，可想而知将会造成巨大的经济损失。

在不同类型网站漏洞中，黑客利用SQL注入漏洞、团购程序漏洞、目录的写权限启用、PUT方法启用等多种漏洞或不同漏洞的组合攻击，都可能造成团购网站内容被篡改的后果。

(三)团购网站被利用钓鱼或被恶意控制

在利用团购网站漏洞的钓鱼攻击中，跨站脚本漏洞和CRLF注入HTTP响应拆分漏洞非常典型。举例说明：

某天你在泡论坛，看到有篇帖子推荐了一款团购商品，价格令人动心，而且网址域名是你熟悉的一家团购网站。当你点击链接打开网页，网页表面看起来也和 你熟悉的那家团购网站一模一样。请注意，这时页面可能已经执行了恶意脚本，在你面前打开的是黑客仿冒构造的一个钓鱼页面(跨站脚本漏洞);或者，网址悄然 重定向跳转到钓鱼网站上，让你不知不觉间就从A网站来到黑客的B网站(CRLF注入HTTP响应拆分漏洞)。

如果通过此类钓鱼页面进行支付交易，交易资金很可能被黑客劫持，甚至网银、网上支付的账户密码也被黑客窃取。

另外，曾有技术人员曝光称，某团购网站的VIP会员活动、砸金蛋活动，甚至账户余额充值多次出现程序的用户交互漏洞，可以绕过权限验证随意领红包、无限砸金蛋和充值。与此相比，黑客利用网站漏洞实施渗透控制的后果更为严重。

例如，当团购网站服务器被黑客利用漏洞植入脚本后门，黑客可获得控制网站的权限，更进一步还可获得网站服务器系统的高级权限。这意味着，团购网站的各种交易、活动均可能被他人暗中操纵，而不仅仅是领红包、砸金蛋或账户充值，团购网站的所有资料、数据也可能被随时摧毁。

第三章 提高团购网站安全性的解决方案

对团购网站等电子商务平台而言，网站安全是一个综合性多元化问题，包括系统安全、数据安全、交易平台安全等，全方位解决安全问题需要完善的管理机制和专业技术保障。360网站安全检测平台建议，团购网站应该从以下三个方面提升网站的安全性：

(一)强化网站安全意识

1.由专业技术人员进行安全维护

安全对电子商务运营的重要性不言而喻，有些团购网站的WEB程序是外包开发的，而且网站程序的开发人员没有安全编程经验，极易造成各种漏洞。

2.及时为服务器操作系统和网站程序打好补丁

有些网站使用版本陈旧的程序，服务器操作系统也不注意更新补丁，存在大量广为人知的漏洞，当然会轻易被黑客利用入侵，成为傀儡主机。

3.严谨的测试流程

在任何网站应用上线前，都应从安全角度进行测试，去除不必要的风险因素。在用户交互环节，更应注意控制权限，过滤可能出现的威胁。

(二)定期进行网站安全检测

一些网站管理者认为，“在网络中不断部署防火墙、入侵检测系统、入侵防御系统等设备，就可以提高网络的安全性”。其实这样的认识存在误区，根本原因在于，传统的网络安全设备难以抵御应用层的攻击，最有效的网站安全解决方案是修复漏洞。

在网站安全检测方面，360网站安全检测平台提供了集“漏洞检测”、“挂马检测”和“篡改检测”于一体的一站式免费服务平台，拥有国内最全的网站漏洞检测库及强大的蜜罐集群检测系统，并可在第一时间为高危0day漏洞提供修复建议。

(三)实时监控网站安全状况

网站被挂马或篡改，不仅会降低用户对其的信任度，更严重危害网络安全或造成不良影响。此外，360网站安全检测平台提供了实时的挂马监控和篡改监控功能，一旦发现网站被挂马或被篡改，能够自动以邮件等方式通知站长，将网站蒙受损失的风险降到最低。