㈠ 電子商務的安全風險有哪些
客戶來面臨的風險
客戶面臨的風險是指客源戶一方的私有信息被盜用或破壞的可能性。例如:客戶的賬號及密碼、信用卡信息、客戶計算機系統及數據等。
銷售商面臨的風險
在電子商務中,銷售商面臨的風險主要有三方面,即假客戶、被封鎖服務和數據被竊。
企業自身面臨的風險
(1)人為製造的災難包括計算機病毒和硬體設備的人為破壞。
(2)企業內部網的風險。據統計,對網路系統的攻擊有85%是來自企業內部的黑客。
(3)企業與其他企業進行商務活動時的風險。企業在與其他企業進行商務合作或競爭時,其他企業可能利用非法手段竊取該企業的文件或數據。其中的風險為:傳輸中數據的被盜、企業計算機上的數據及文件的被盜。
電子商務在網路上的運行還不夠規范
對於網上的稅收、合同以及保險等方面都存在著不規范的現象,在加之法律在網路上的不健全,這些都制約著電子商務在網路的發展。
㈡ 電子商務安全隱患有哪些
恩,都對吧,應該就是這些了。以下是對目前國內電子商務站點普遍存在的幾個嚴重的安全問題的一些分析。
1、 客戶端數據的完整性和有效性檢查
1.1、特殊字元的過濾
在 W3C 的 WWW Security FAQ 中關於CGI安全編程一節里列出了建議過濾的字元: &;`'\"|*?~<>^()[]{}$\n\r
這些字元由於在不同的系統或運行環境中會具有特殊意義,如變數定義/賦值/取值、非顯示字元、運行外部程序等,而被列為危險字元。W3C組織強烈建議完全過濾這些特殊字元。但在許多編程語言、開發軟體工具、資料庫甚至操作系統中遺漏其中某些特殊字元的情況時常出現,從而導致出現帶有普遍性的安全問題。1.1.1、CGI和Script編程語言的問題
在幾種國內常見的WEB編程語言中,ASP和Cold Fusion 腳本語言對特殊字元的過濾機制不夠完善,例如沒有對單引號做任何處理等。Perl和php對特殊字元的過濾則較為嚴密,如忽略或加上「\」(取消特殊字元含義)處理。C語言編寫的cgi程序對特殊字元的過濾完全依賴於程序員的知識和技術,因此也可能存在安全問題。
1.1.2、Microsoft ASP腳本
普遍存在的問題是程序員在編寫ASP腳本時,缺少或沒有對客戶端輸入的數據/變數進行嚴格的合法性分析。無意或有意輸入的特殊字元可能由於其特殊含義改變了腳本程序,從而使腳本運行出錯或執行非法操作。例如,當腳本程序需要進行資料庫操作時,惡意用戶可以利用嵌入特殊字元來突破腳本程序原先的限制。
因此,如果攻擊者輸入某些特定sql語句,可能造成資料庫資料丟失/泄漏/甚至威脅整個站點的安全。比如攻擊者可以任意創建或者刪除表(如果可以猜測出已存在的表名),清除或者更改資料庫數據。攻擊者也可能通過執行一些儲存過程函數,將sql語句的輸出結果通過電子郵件發送給自己,或者執行系統命令。
1.1.3、PHP和Perl
雖然提供了加上」\」(取消特殊字元含義)處理的手段,但是處理一些資料庫時依然可以被改寫。(我們本地的測試證實了這情況。)請閱讀下面關於資料庫問題的分析。對於MySQL則沒有問題,\'不會與前面的單引號封閉,而當作一個合法的字元處理。針對oracle和informix等資料庫暫時未進行相關測試。
另外,對於PHP或者Perl語言,很多程序對於數字類型的輸入變數,沒有加單引號予以保護,攻擊者就有可能在這種變數中加入額外的SQL語句,來攻擊資料庫或者獲得非法控制許可權。1.2、資料庫問題
不同的資料庫對安全機制的不同認識和實現方法,使它們的安全性也有所不同。最常見的問題是利用資料庫對某些字元的不正確解釋,改寫被執行的SQL語句,從而非法獲得訪問許可權。例如,Microsoft SQL Server和Sybase對 \'當作了兩個不同字元,所以僅僅在程序中加上」\」仍然可能通過一些特殊手段改寫 SQL語句突破資料庫的安全防線。Microsoft SQL Server也將」—「作為注釋符號,這個符號以後的SQL語句均被忽略,攻擊者可能利用這個來屏蔽掉某些用來認證的SQL語句(例如口令驗證),獲得對合法用戶帳號的控制權。MySQL則將\'作為一個可操作的正常字元,不存在利用\'改寫的可能。其它資料庫如Oracle、Informix和MiniSQL等也必須注意防止各種改寫SQL語句的可能。(註:另外,迄今為止,各種資料庫都或多或少地被發現存在不同程度上的安全漏洞。如Microsoft SQL拒絕服務漏洞,MySQL GRANT許可權可改變任意用戶口令的漏洞,MySQL 遠程繞過口令限制的漏洞,MiniSQL遠程緩沖區溢出漏洞,Oracle Web Listener 非授權訪問漏洞,Oracle dbsnmp符號連接漏洞,Sybase PowerDynamo目錄遍歷漏洞,等等。由於資料庫數據資料是電子商務網站的最重要部份,關繫到電子商務網站的生死存亡,因此修補各種安全漏洞,保證資料庫免受各種攻擊,是絕對必要的!)
2、 Cookie或用戶身份的常用認證問題
對於一個網站會員而言,經常存在需要一次注冊,多次認證的問題,一般採用手段為cookie或input type=hidden來傳遞認證參數。這裡面有幾點隱患:
I. 所攜帶內容必須完整包含帳號密碼,或類似的完整安全信息,如果只攜帶帳號信息或用某種許可權標志來認證,極容易造成非法入侵,我們檢測了一些電子商務網站,很多都有此類安全隱患。例如某站點中的會員更新頁面中攜帶的認證信息是兩個,用戶名和Uid(均為明文傳送)已知Uid對於每個會員是唯一的。由於我們只需要知道對方的帳號和Uid就可以更改對方信息(不需要知道密碼!),只要攻擊者知道Uid(攻擊者可以通過暴力猜測的方法來得到Uid,有時候站點本身也會泄露用戶的Uid,例如在論壇等處)那麼,攻擊者就可以通過遍歷攻擊完成對任意一個帳號的信息更改。
II. 必須所有需要許可權操作的頁面都必須執行認證判斷的操作。如果任何一頁沒有進行這種認證判斷,都有可能給攻擊者以惡意入侵的機會。
III. 很多網站為了方便,將用戶名以及口令信息儲存在Cookie中,有的甚至以明文方式保存口令。如果攻擊者可以訪問到用戶的主機,就可能通過保存的Cookie文件得到用戶名和口令。
3、 大量數據查詢導致拒絕服務
許多網站對用戶輸入內容的判斷在前台,用JavaScript判斷,如果用戶繞過前台判斷,就能對資料庫進行全查詢,如果資料庫比較龐大,會耗費大量系統資源,如果同時進行大量的這種查詢操作,就會有Denial of Service(DoS —— 拒絕服務)同樣的效果。
解決方法:
1、客戶端數據完整性和有效性檢查的解決辦法
根據目前國內電子商務網站普遍存在的安全問題,主要的原因是未對某些特殊字元——例如單引號(』)進行過濾,或過濾機制不夠完善。因此較為根本的解決方法是加強過濾機制,對用戶輸入數據進行全面的檢查。以對ASP + Microsoft SQL Server類型的網站危害比較大的單引號(』)為例。目前可以肯定的是僅僅通過加上」\」或雙引號處理是不健全的,必須杜絕單引號在處理程序的SQL語句中出現。I. 對於從客戶端接收的數據變數應該用"』"(單引號)來引用;
II. 對用戶輸入的所有數據進行合法性檢查(盡可能放在後台校驗),包括數據長度和數據內容,將其中的特殊意義字元替換或不予往下執行。例如,將"』"替換成"』』" (兩個單引號)號或用雙位元組中文單引號替換;而對於數字型變數,要檢查輸入的數據是否全為數字。
III. 對象資料庫不使用系統默認的dbo用戶。並盡量減少新增用戶的許可權;以ASP為例,具體的實現可以通過函數Replace函數來實現,如:<%
username=Replace(trim(Request.Form(「username」)),」』」,」』」)
password=Replace(trim(Request.Form(「password」)) ,」』」,」』」)
%>
以上例子將變數username與password中的字元」』」(單引號)替換成雙位元組中文單引號。如希望用戶能使用單位元組單引號」』」,可參考使用如下函數:
<%
function CheckStr(str)
dim tstr,l,i,ch
l=len(str)
for i=1 to l
ch=mid(str,i,1)
if ch="』" then
tstr=tstr+"』"
end if
tstr=tstr+ch
next
CheckStr=tstr
end function
%>該函數將需要校驗的數據中的單位元組單引號後添加了"』",這樣,送入SQL中的"』"就變成了"』』",當輸出該欄位數據時,該項內容中的"』』"輸出為"』"。對於其他的CGI編程語言,可以參照上述方法的思路進行處理。2、 Cookie或用戶身份的常用認證問題的解決辦法
由於session (會話)機制主要由伺服器控制,比利用cookie傳遞認證參數更為安全可靠,因此可使用session會話取代cookie認證。如果必須使用Cookie傳遞參數,必須將參數內容進行加密,並正確設置Cookie的有效時間。3、 大量數據查詢導致拒絕服務的解決辦法
為了安全起見,應該將可能導致出現這種拒絕服務攻擊的Javascript移植到由伺服器端執行,防止客戶端向伺服器提交過量的資料庫操作。4、 若對本次安全公告有不明之處,請與我們聯系獲得進一步的幫助。
鑒於此漏洞的嚴重性,我們將向國內站點提供解決這個安全問題的免費技術支持
㈢ 電子商務安全包括哪些方面
在正確看待電子商務的安全問題時,有幾個觀念值得注意:
其一,安全是一個系統的概念。安全問題不僅僅是個技術性的問題,不僅僅只涉及到技術,更重要的還有管理,而且它還與社會道德、行業管理以及人們的行為模式都緊密地聯系在一起了。
其二,安全是相對的。房子的窗戶上只有一塊玻璃,一般說來這已經很安全,但是如果非要用石頭去砸,那就不安全了。我們不會因為石頭能砸碎玻璃而去懷疑它的安全性,因為大家都有一個普遍的認識:玻璃是不能砸的,有了窗玻璃就可以保證房子的安全。同樣,不要追求一個永遠也攻不破的安全技術,安全與管理始終是聯系在一起的。也就是說安全是相對的,而不是絕對的,如果要想以後的網站永遠不受攻擊,不出安全問題是很難的,我們要正確認識這個問題。
其三,安全是有成本和代價的。無論是現在國外的B-to-B還是B-to-C,都要考慮到安全的代價和成本的問題。如果只注重速度就必定要以犧牲安全來作為代價,如果能考慮到安全速度就得慢一點,把安全性保障得更好一些,當然這與電子商務的具體應用有關。如果不直接牽涉到支付等敏感問題,對安全的要求就低一些;如果牽涉到支付問題對安全的要求就要高一些,所以安全是有成本和代價的。...在正確看待電子商務的安全問題時,有幾個觀念值得注意:
其一,安全是一個系統的概念。安全問題不僅僅是個技術性的問題,不僅僅只涉及到技術,更重要的還有管理,而且它還與社會道德、行業管理以及人們的行為模式都緊密地聯系在一起了。
其二,安全是相對的。房子的窗戶上只有一塊玻璃,一般說來這已經很安全,但是如果非要用石頭去砸,那就不安全了。我們不會因為石頭能砸碎玻璃而去懷疑它的安全性,因為大家都有一個普遍的認識:玻璃是不能砸的,有了窗玻璃就可以保證房子的安全。同樣,不要追求一個永遠也攻不破的安全技術,安全與管理始終是聯系在一起的。也就是說安全是相對的,而不是絕對的,如果要想以後的網站永遠不受攻擊,不出安全問題是很難的,我們要正確認識這個問題。
其三,安全是有成本和代價的。無論是現在國外的B-to-B還是B-to-C,都要考慮到安全的代價和成本的問題。如果只注重速度就必定要以犧牲安全來作為代價,如果能考慮到安全速度就得慢一點,把安全性保障得更好一些,當然這與電子商務的具體應用有關。如果不直接牽涉到支付等敏感問題,對安全的要求就低一些;如果牽涉到支付問題對安全的要求就要高一些,所以安全是有成本和代價的。作為一個經營者,應該綜合考慮這些因素;作為安全技術的提供者,在研發技術時也要考慮到這些因素。
其四,安全是發展的、動態的。今天安全明天就不一定很安全,因為網路的攻防是此消彼長、道高一尺、魔高一丈的事情,尤其是安全技術,它的敏感性、競爭性以及對抗性都是很強的,這就需要不斷地檢查、評估和調整相應的安全策略。沒有一勞永逸的安全,也沒有一蹴而就的安全。
㈣ 求關於電子商務安全的案例,例如 信息泄露神馬的
–電子來商務網站電子港灣(eBay)和源亞馬遜(Amazon)遭黑客攻擊;–蠕蟲病毒攻擊;–日本網際網路雅虎個人資料外泄;–萬事達信用卡集團用戶資料外泄等; –熊貓燒香–「沖擊波」與「震盪波」–阿里巴巴B2B平台簽約客戶涉嫌詐騙事件
㈤ 電子商務發展的經典案例
國法庄嚴。
國法尊嚴。
2002年,回國。
海歸來兮,最鼎力的是滿分的自己選的專業課。其中,一門,就是:電子商務的A.
2003年,受聘回世界第一大集團公司,雖然,空缺的只是公共關系經理的位置,但是,偏偏,是媒體可以發力的:力著點。
以全球最優秀的職業經理人的資歷,一入手,就以美國MBA的全力頂起了一直疲沓的企業的銷售市場部份的全體全部市場促銷的全國400萬家媒體的平媒。!
企業立即騰飛。
多年虧損立即扭虧。
創造了世界第一的15年扭虧為盈的奇跡。!
創造了世界上第一般全中文的、僅僅以公共關系一個部門和崗位和力著點發力就取得幾乎是立即扭虧為贏利多年長期虧損的超大型國有企業合資世界第一大集團公司僅20年的大企業。!
因為,所在集團是世界第一的聚光燈下的全球商業掮客的焦點,被立即帶動和發動的全國和全球電子商務市場,立即,得到我獨創的全新市場平媒傳播的文案全面發動。
電子商務,從此,在中國和全球如日中天。!
滿分的論文的我的一課:電子商務
A
國歌
國際歌
國法庄嚴