請盡速更換您的老舊購物網站系統(例如 ECSHOP)

近幾年來,協助至少超過 20 家電商,從其他電商系統轉移到 OpenCart 系統,而轉移系統的原因是,原本的系統被駭了,網站交易資料被盜取,客戶不斷接到詐騙的電話 …

這 20 家大約有一半的網站是採用 ECShop 系統架設的,其餘的系統幾乎都來自於老牌的網路公司或電商平台,很明顯的共同點是,這些網站系統都是屬於老舊架構的系統。

雖然無法斷定所有網站被入侵的管道,但至少 ECShop 系統,因版本老舊缺乏更新,早就曝光了很多的安全漏洞,而這些 ECShop 系統的安全漏洞,絕大部分都是屬於 SQL Injection 這類的安全漏洞, SQL Injection 的攻擊手法其實在很久很久以前就被注意了,只不過在當時,大都是靠有安全概念的程式設計師,在程式中加入一些過濾 SQL 參數的動作,來防止 SQL Injection 的攻擊,但畢竟一套購物網站系統,實在包含太多太多接收 POST 或 GET 參數進行資料庫 CRUD 的程式,只要稍有疏漏,參數過濾不徹底,就會留下 SQL Injection 的安全漏洞。

ECShop 絕大部分的漏洞,就是屬於 SQL Injection 之類,而其他老牌網路公司開發的系統或電商平台,相信也是相同的問題,因為底下這篇資安專家的文章,也是提到 SQL Injection 一直是近幾年網站受到入侵攻擊的最常用手法 : https://www.ithome.com.tw/news/128605

難道較新的系統就沒有安全漏洞了嗎?

新的系統雖然不是絕對的安全,但與老舊的系統相比,是相對安全許多的,以 PHP + MySQL 的系統為例,多年前已因應 SQL Injection 的問題而發展出了不少機制,例如 PHP-MySQLi 的 Bind Column,及 PDO 的 Abstraction Layer 等等,當系統開發採用 mySQLi 或 PDO 的資料庫連線方式時,基本上就已具有 SQL Injection 的抵禦能力了,另外再加上目前系統開發,皆習慣採用 PHP 的 FrameWork,而這些 FrameWork 通常都帶有過濾或跳脫不當參數(特殊符號)的能力,在雙重保險之下,現在新一代的購物網站系統,當然會比 ECShop 年代的系統安全許多許多許多。

因為老舊的系統要修補 SQL Injection 的漏洞並不是容易的事,如果您的網站已有被入侵的跡象,客戶一直反應接到詐騙電話,與其繼續讓客戶接到詐騙電話而影響商譽,不如徹底的解決問題,放棄老舊的網站系統,轉換到新一代的系統,雖然轉換系統會有一段陣痛期,但是新的系統帶來的安全性、新功能、新版型、更多的擴充功能及可用資源,也可能會讓您的網站品質及風格,晉升到主流的等級,或許是另一個脫胎換骨的好機會,所以,請不要再遲疑,盡快轉換您的系統吧!!