在电商平台上使用物流API存在着安全隐患

如果电商平台使用的物流API遭遇安全问题，则消费者的个人信息会被大量暴露。

物流 API 整合了企业和第三方供应商之间的数据和服务，以解决各种市场需求。如果 API 集成不当，可能会出现泄露个人身份信息(PII) 的风险。许多使用 API 通信的垂直行业应该得到足够的保护，尤其是在传输敏感数据时。否则，无意的 PII 泄漏不仅会对未能履行其法律或合规义务的组织造成严重后果，也会对暴露 PII 的消费者造成严重后果。

最初，研究人员调查了通过不安全的方法无意中暴露PII的3PL和4PL提供商。但随着研究的深入，我们也发现，除了 3PL 和 4PL 提供商会暴露敏感信息外，已经集成到其系统中的服务也存在自身的安全漏洞，从而加剧了整个电子商务生态系统的风险。菜鸟驿站的电子商务平台允许不同行业商家通过 API 整合现有的外部物流服务提供商，将两种不同的电子商务服务灵活自如地整合到一个平台中。

当我们通过四个 3PL 提供商中的一个提供的 URL 链接检查订单信息页面，并检查为查看订单详细信息而发出的 HTTP 请求时，研究人员发现他们正在查看的页面正在后台向另一个 3PL 发出 HTTP 请求供应商获取订单详情。

另一种不安全的编码做法是某些 3PL 提供商使用会话和 cookie 的过期日期设置不当。我们观察到许多 3PL 提供商不遵守特定于使用会话和 cookie 来规范身份验证的最佳安全做法的实例。此方法是开放 Web 应用程序安全项目 (OWASP) 推荐的最佳做法之一，尽管会话生存时间 (TTL) 应始终在事务完成后或用户退出连接后立即过期。攻击者可以使用检测到的 cookie 密钥来重放交易并获取 PII，他们可以利用这些 PII 来启动恶意计划。

会话过期决定何时中止会话与服务器的经过身份验证的连接。默认情况下，该时间设置为一天，或者会在用户停止与网站的连接后终止。相同的机制适用于 cookie 过期。一旦用户不再在网站上执行任何操作，应激活会话超时，以防止重复使用过期的 cookie。这样做的好处是，如果用户在一个月内没有访问该网站，他们可以继续使用这个网站。

（编辑：银川站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!