❶ 如何解決電子商務的安全問題
電子商務安全技術措施
1.數據加密技術。對數據進行加密是電子商務系統最基本的信息安全防範措施.其原理是利用加密演算法將信息明文轉換成按一定加密規則生成的密文後進行傳輸,從而保證數據的保密性。使用數據加密技術可以解決信息本身的保密性要求。數據加密技術可分為對稱密鑰加密和非對稱密鑰加密。
(1)對稱密鑰加密(SecretKeyEncryption)。對稱密鑰加密也叫秘密/專用密鑰加密,即發送和接收數據的雙方必須使用相同的密鑰對明文進行加密和解密運算。它的優點是加密、解密速度快,適合於對大量數據進行加密,能夠保證數據的機密性和完整性;缺點是當用戶數量大時,分配和管理密鑰就相當困難。
(2)非對稱密鑰加密(PublicKeyEncryption)。非對稱密鑰加密也叫公開密鑰加密,它主要指每個人都有一對惟一對應的密鑰:公開密鑰(簡稱公鑰)和私人密鑰(簡稱私鑰)公鑰對外公開,私鑰由個人秘密保存,用其中一把密鑰來加密,就只能用另一把密鑰來解密。非對稱密鑰加密演算法的優點是易於分配和管理,缺點是演算法復雜,加密速度慢。
(3)復雜加密技術。由於上述兩種加密技術各有長短,目前比較普遍的做法是將兩種技術進行集成。例如信息發送方使用對稱密鑰對信息進行加密,生成的密文後再用接收方的公鑰加密對稱密鑰生成數字信封,然後將密文和數字信封同時發送給接收方,接收方按相反方向解密後得到明文。
2.數字簽名技術。數字簽名是通過特定密碼運算生成一系列符號及代碼組成電子密碼進行簽名,來代替書寫簽名或印章,對於這種電子式的簽名還可進行技術驗證,其驗證的准確度是一般手工簽名和圖章的驗證所無法比擬的。數字簽名技術可以保證信息傳送的完整性和不可抵賴性。
3.認證機構和數字證書。由於電子商務中的交易一般不會有使用者面對面進行,所以對交易雙方身份的認定是保障電子商務交易安全的前提。認證機構是一個公立可信的第三方,用以證實交易雙方的身份,數字證書是由認證機構簽名的包括公開密鑰擁有者身份信息以及公開密鑰的文件。在交易支付過程中,參與方必須利用認證中心簽發的數字證書來證明自己的身份。
4.使用安全電子交易協議(SET:Secure Electronic Transactions)。是由VISA 和MasterCard兩大信用卡組織指定的標准。SET用於劃分與界定電子商務活動中各方的權利義務關系,給定交易信息傳送流程標准。SET協議保證了電子商務系統的保密性、完整性、不可否認性和身份的合法性。
❷ 電子商務存在的安全問題是什麼
電子商務中存在安全的問題:
(一)網路信息安全方面
1.伺服器的安全問題。電子商務伺服器是電子商務的核心,安裝了大量的與電子商務有關的軟體和商家信息,並且伺服器上的資料庫里有電子商務活動過程中的一些保密數據。因此伺服器特別容易受到安全的威脅,並且一旦出現安全問題,造成的後果也是非常嚴重。
2.網路信息的安全問題。非法用戶在網路的傳輸上使用不正當手法,非法攔截會話數據獲得合法用戶的有效信息,最終導致合法用戶的一些核心業務數據泄密或者是非法用戶對截獲的網路數據進行一些惡意篡改,如增加、減少和刪除等操作,從而使信息失去真實性和完整性,導致合法用戶無法正常交易,還有一些非法用戶利用截獲的網路數據包再次發送,惡意攻擊對方的網路硬體和軟體。
3.網路安全中的病毒問題。互聯網的出現為電腦病毒的傳播提供了最好的媒介,不少新病毒直接以互聯網作為自己的傳播途徑,電腦病毒問世10多年來,各種新型病毒及其變種迅速增加,不少新病毒直接以互聯網作為自己的傳播途徑,還有眾多病毒藉助於互聯網傳播得更快,如何在電子商務領域如何有效防範病毒也是一個十分緊迫的問題。
(二)電子商務交易方面
1.交易身份的不確定。電子商務是一種全球各地廣泛的商業貿易活動在開放的網路環境下,基於瀏覽器/伺服器應用方式,在買賣雙方不謀面的情況下進行各種商貿活動,實現消費者的網上購物、商戶之間的網上交易和在線電子支付以及各種商務活動、交易活動、金融活動和相關的綜合服務活動。正是基於這個特點攻擊者可以通過非法的手段盜竊合法用戶的身份信息,仿冒合法用戶的身份與他人進行交易。
2.交易協議安全性問題。企業和用戶在電子交易過程中的數據是以數據包的形式來傳送的,惡意攻擊者很容易對某個電子商務網站展開數據包攔截,甚至對數據包進行修改和假冒。TCP/IP協議是建立在可信的環境之下,缺乏相應的安全機制,這種基於地址的協議本身就會泄露口令,根本沒有考慮安全問題;TCP/IP協議是完全公開的,其遠程訪問的功能使許多攻擊者無須到現場就能夠得手,連接的主機基於互相信任的原則等這些性質使網路更加不安全。
❸ 電子商務安全問題國內外研究現狀
一、安全問題是實施電子商務的關鍵
傳統的交易是面對面的,比較容易保證建立交易雙方的信任關系和交易過程的安全性。而電子商務活動中的交易行為是通過網路進行的,買賣雙方互不見面,因而缺乏傳統交易中的信任感和安全感。美國密執安大學一個調查機構通過對23000名網際網路用戶的調查顯示,超過60%的人由於電子商務的安全問題而不願進行網上購物。任何個人、企業或商業機構以及銀行都不會通過一個不安全的網路進行商務交易,這樣會導致商業機密信息或個人隱私的泄露,從而導致巨大的利益損失。根據中國互聯網路信息中心(CNNIC)發布的「中國互聯網路發展狀況統計報告」,在電子商務方面,52.26%的用戶最關心的是交易的安全可靠性。由此可見,電子商務中的網路安全和交易安全問題是實現電子商務的關鍵之所在。
二、電子商務中的安全隱患和安全需求
1、電子商務中的安全隱患有:(1)篡改。電子的交易信息在網路上傳輸的過程中,可能被他人非法的修改,刪除或重放(指只能使用一次的信息被多次使用),從而使信息失去了真實性和完整性。(2)信息破壞。包括網路硬體和軟體的問題而導致信息傳遞的丟失與謬誤;以及一些惡意程序的破壞而導致電子商務信息遭到破壞。(3)身份識別。如果不進行身份識別.第三方就有可能假冒交易一方的身份,以破壞交易.敗壞被假冒一方的聲譽或盜竊被假冒一方的交易成果等。而不進行身份識別,交易的一方可不為自己的行為負責任,進行否認,相互欺詐。(4)信息泄密。主要包括兩個方面,即交易雙方進行交易的內容被第三方竊取或交易一方提供給另一方使用的文件被第三方非法使用。
2、電子商務的安全性需求:電子商務的安全性需求可以分為兩個方面,一方面是對計算機及網路系統安全性的要求,表現為對系統硬體和軟體運行安全性和可靠性的要求、系統抵禦非法用戶入侵的要求等;另一方面是對電子商務信息安全的要求。(1)信息的保密性:指信息在存儲、傳輸及處理過程中不被他人竊取。(2)信息的完整性:包括信息在存儲中不被篡改和破壞,以及在傳輸過程中收到的信息和原發送信息的一致性。(3)信息的不可否認性:指信息的發送方不可否認已經發送的信息.接收方也不可否認已經收到的信息。(4)交易者身份的真實性:指交易雙方是確實存在的,不是假冒的。(5)系統的可靠性:指計算機及網路系統的硬體和軟體工作的可靠性,是否會因為計算機故障或意外原因造成信息錯誤、失效或丟失。
三、電子商務的安全技術
根據電子商務的這些安全性需求通常採用的安全技術主要有:密鑰加密技術、信息摘要技術、數字簽名、數字證書及CA認證。
1、密鑰加密技術:密碼加密技術有對稱密鑰加密技術和非對稱密鑰加密技術。
(1)對稱密鑰加密技術:對稱密鑰加密技術使用DES(Data En-cryption Standard)演算法,要求加密解密雙方擁有相同的密鑰,密鑰的長度一般為64位或56位。這種加密方法可以解決信息的保密問題,但又帶來了一些新的問題:一是在首次通信前,雙方必須通過網路以外的途徑傳遞統一的密鑰:二是當通信對象增多時,需要相應數量的密鑰,這就使密鑰管理和使用的難度增大;三是對稱加密是建立在共同保守秘密的基礎之上的,在管理和分發密鑰過程中,任何一方的泄露都會造成密鑰的失效,存在著潛在的危險和復雜的管理難度。
(2)非對稱密鑰加密技術:為了克服對稱密鑰加密技術存在的密鑰管理和分發上的問題,1976年Diffie和Hellman以及Merkle分別提出了公開密鑰密碼體制的思想:要求密鑰成對出現,一個為加密密鑰,另一個為解密密鑰,且不可能從其中一個推導出另一個。根據這種思想自1976年以來已經提出了多種公鑰加密演算法。公鑰加密演算法也稱為非對稱密鑰演算法,加密和解密的時候使用兩把密鑰,一把為公鑰,另一把為私鑰。私鑰只有自己知道,嚴密保管,公鑰和加密演算法則可以通過網路等渠道發布出去。公鑰加密演算法主要有:RSA、Fertezza、ElGama等。非對稱加密技術採用的是RSA演算法,是由Rivest、Shanir和Adle-man三人發明的。演算法如下:公鑰n=pq(p,q分別為兩個互異的大素數,必須要保密,n的長度大於512bit),選一個數e與(p-1)(q-1)互質,私鑰d=e-1(mod(p-1)(q-1)),加密:c=me(mod n)(其中m為明文,c為密文),解密:m=cd(mod n)。通信時,發送方用接收者的公鑰對明文加密後發送,接收方用自己的私鑰進行解密,這樣既解決了信息保密問題,又克服了對稱加密中密鑰管理與分發傳遞的問題。
2、信息摘要技術:密鑰加密技術只能解決信息的保密性問題,對於信息的完整性則可以用信息摘要技術來保證。信息摘要(Messagedigest)又稱Hash演算法,是Ron Rivest發明的一種單向加密演算法,指從原文中通過Hash演算法而得到一個有固定長度(128位)的散列值,不同的原文所產生的信息摘要必不相同,相同原文產生的信息摘要必定相同,因此信息摘要類似於人類的「指紋」,可以通過「指紋」去鑒別原文的真偽。信息摘要的使用過程如下:1、對原文使用Hash演算法得到信息摘要;2、將信息摘要與原文一起發送;3、接收方對接收到的原文應用Hash演算法產生一個摘要;4、用接收方產生的摘要與發送方發來的摘要進行對比,若兩者相同則表明原文在傳輸過程中沒有被修改,否則就說明原文被修改過
3、數字簽名:數字簽名(Digital Signature)是密鑰加密和信息摘要相結合的技術,可以保證信息的完整性和不可否認性。數字簽名的過程如下:1、發送方用自己的私鑰對信息摘要加密;2、發送方將加密後的信息摘要與原文一起發送;3、接收方用發送方的公鑰對收到的加密摘要進行解密;4、接收方對收到的原文用Hash演算法得到接收方的信息摘要;5、將解密後的摘要與接收方的信息摘要對比,相同說明信息完整且發送方身份是真實的,否則說明信息被修改或不是該發送者發送
由於私鑰是自己保管的他人無法仿冒,同時發送方也不能否認用自己的私鑰加密發送的信息,所以數字簽名解決了信息的完整性和不可否認性問題。數字簽名加密和密鑰加密技術不同,密鑰加密是發送方用接收方的公鑰加密,接收方在用自己的私鑰解密,是多對一的關系;而數字簽名中的加密是發送方用自己的私鑰對摘要進行加密,接收方用發送方的公鑰對數字簽名解密,是一對多的關系,表明公司的任何一個貿易夥伴都可以驗證數字簽名的真偽性。
4、數字證書與CA認證:非對稱加密技術和數字簽名技術都用到了公鑰,當交易的一方通過公開渠道得到了另一方的公鑰後,存在著這樣的問題:這個公鑰到底是不是真正屬於對方的,是否會有其他人假冒對方發布的公鑰。那麼如何確定網上交易雙方真實身份的確認,要用到由認證中心CA頒發的數字證書。
(1)數字證書:數字證書類似於現實生活中的身份證,它是標志網路用戶身份信息的一系列數據,用來在網路應用中識別通訊各方的身份。數字證書採用公鑰體制.即用一對互相匹配的密鑰進行加密、解密。每個用戶擁有一把僅為本人所掌握的私鑰,用它進行解密和數字簽名;同時擁有一把公鑰並可以對外公開,用於信息加密和驗證簽名。當發送一份保密文件時,發送方使用接收方的公鑰對數據進行加密,而接收方則使用自己的私鑰解密,這樣信息就可以安全無誤的到達目的地了。用戶可以採用自己的私鑰對信息加以處理,由於私鑰僅為本人所有,所以能生成別人無法偽造的文件,也就形成了數字簽名。同時,由於數字簽名與信息的內容相關,因此經過簽名的文件如有改動,就會導致數字簽名的驗證過程失敗,這樣就可以保證文件的完整性。
(2)數字證書的內容:主要包括以下內容:1、證書擁有者的姓名;2、證書擁有者的公鑰;3、公鑰的有限期;4、頒發數字證書的單位;5、頒發數字證書單位的數字簽名;6、數字證書的序列號等。
(3)認證中心CA(Certificate Authority):認證中心是頒發數字證書的第三方權威機構。在電子交易中,商家、客戶、銀行的身份都要由認證中心來認證。因此認證中心主要有以下的功能:1、核發證書:核實申請人的各項資料是否真實,根據核實情況決定是否頒發數字證書。2、管理證書:檢查證書、廢除證書、更新證書。3、搜索證書:查找或下載個人(單位)的數字證書。4、驗證證書:可以幫助確定數字證書是否已被持有人廢除
電子商務的前途是光明的,但道路依然曲折,安全問題是阻礙電子商務廣泛應用的最大問題,改進數字簽名在內的安全技術措施、確定CA認證權的歸屬問題十分關鍵。
❹ 淺談如何解決電子商務面臨的安全問題
1.電子商務面臨的網路系統安全問題
電子商務系統是依賴網路實現的商務系統,需要利用Internet基礎設施和標准,所以構成電子商務安全框架的底層是網路服務層,它提供信息傳送的載體和用戶接入的手段,是各種電子商務應用系統的基礎,為電子商務系統提供了基本、靈活的網路服務。
電子商務網路系統安全問題包括以下幾個方面:
(1)網路部件的不安全因素。
(2)軟體不安全因素。
(3)工作人員的不安全因素。
(4)自然環境因素。
2.電子商務面臨的電子支付系統安全問題
眾所周知,基於Internet平台的電子商務支付系統由於涉及到客戶、商家、銀行及認證部門等多方機構,以及它們之間可能的資金劃撥,所以客戶和商家在進行網上交易時必須充分考慮其系統的安全。
目前網上支付中面臨的主要安全問題有以下幾方面:
(1)支付賬號和密碼等隱私支付信息在網路傳送過程中被竊取或盜用。
(2)支付金額被更改。
(3)不能有效驗證收款人的身份。
3.電子商務面臨的認證系統安全問題
1.信息泄漏
在電子商務中表現為商業機密的泄漏,主要包括兩個方面:交易雙方進行交易的內容被第
三方竊取;交易一方提供給另一方使用的文件被第三方非法使用。如信用卡的賬號和用戶名被人獲悉,就可能被盜用。
2.篡改
在電子商務中表現為商業信息的真實性和完整性的問題。電子的交易信息在網路上傳輸的過程中,可能被他人非法修改、刪除或重改,這樣就使信息失去了真實性和完整性。假如兩公司簽訂了一份由一公司向另一公司供應原料的合同,若趕上原料價格上漲,供貨方公司篡改價格將使自己大幅受益,而采購公司將蒙受損失。
3.身份識別
在網路交易中如果不進行身份識別,第三方就有可能假冒交易一方的身份,以破壞交易、破壞被假冒一方的信譽或盜取被假冒一方的交易成果等,進行身份識別後,交易雙方就可防止相互猜疑的情況。
4.蓄意否認事實
由於商情的千變萬化,商務合同一旦簽訂就不能被否認,否則必然會損害一方的利益。因此,電子商務就提出了相應的安全控制要求。
(1)電子商務中面臨的法律安全問題。隨著國際信息化、網路化進化的不斷發展,在電子商務領域利用計算機網路進行犯罪的案件與日俱增,其犯罪的花樣和手段不斷翻新。
(2)電子合同中的法律問題。電子商務合同的訂立是在不同地點的計算機系統之間完成的。許多國家的法律要求必須有書面形式的交易單證作為證明交易有效和作為交易的證據;否則,這種合同屬於無效合同。關於電子合同能否視為書面合同,並取得與書面文件同等的效力,是各國法律尚未解決的問題,與傳統書面文件相比,電子文件有一定的不穩定性,一些來自外界的對計算機網路的干擾,都可能造成信息的丟失、損壞、更改。
(3)銀行電子化服務的法律問題。銀行是電子支付和結算的最終執行者,起著聯結買賣雙方的紐帶作用,但對一些從事電子貨幣業務的銀行來說,犯罪分子偽造電子貨幣,給銀行帶來了直接經濟損失。
(4)電子資金轉賬的法律問題。電子資金轉賬的法律是個特殊問題,但是我國現行的《票據法》並不承認經過數字簽名認證的非紙質的電子票據支付和結算方式。並且支付不可撤消,付款人或第三人不能要求撤消已經完成的電子資金轉賬。
(5)電子商務中的知識產權保護問題。電子商務活動中交易的客體及交易的行為經常涉及傳統的知識產權領域。
(6)電子商務中的消費者權益保護問題。電子商務等新的交易方式給消費者權益保護帶來各種新的維權問題。隨著科技進步,新產品的大量出現,消費知識滯後的矛盾也更加突出。
❺ 電子商務存在什麼安全問題
電子商務的復安全問題主要制有以下幾點: 1.交易信息內容被篡改 從貿易活動角度上看,交易信息是商務活動中進行貿易活動所形成的一種信息,包括了客戶訂單信息、訂單確認信息、客戶個人信息等。這些信息具有一定機密性,在信息傳遞過程中利用Internet或電話網對這些交易信息進行篡改或截獲與惡意破壞。 2.電子支付信息盜取 電子支付信息是在商務活動中進行一種支付方式。支付信息包括客戶銀行賬戶、密碼、個人銀行識別碼等信息。這些信息具有絕對機密性,防止非法者盜用信息,偽造假身份進入系統,利用這些信息進行非法活動,是電子商務活動中必須要解決的問題。 3.系統漏洞 非法者藉助電子商務系統存在的漏洞進行進入系統,對系統中的數據進行篡改,取消用戶訂單信息,生成虛假信息等方式。 二、引起電子商務信息不安全的主要因素 電子商務是建立在互聯網應用平台上一種商務活動,它在為電子商務提供網路技術保證的同時,也是引起電子商務信息不安全的主要因素,產生這些不安全的主要因素包括: 1.互聯網的開發性和共享性 由於電子商務是建立互聯網技術平台上的一種商務活動,它繼承了互聯網的開放性和共享性,打破地域之間的界限
❻ 電子商務面臨的安全問題主要有哪些
網站的安全,電子支付的安全等等...
❼ 涉及哪些電子商務的安全問題原因和解決辦法
電子商務活動中存在著很多安全問題,安全問題已成為電子商務成功與否的版關鍵。要保證電子商權務的正常發展,必須高度重視電子商務安全問題,應從技術、管理、法制等多方面健全電子商務安全保障體系,讓電子商務安全地發展起來。
❽ 電子商務安全隱患有哪些
恩,都對吧,應該就是這些了。以下是對目前國內電子商務站點普遍存在的幾個嚴重的安全問題的一些分析。
1、 客戶端數據的完整性和有效性檢查
1.1、特殊字元的過濾
在 W3C 的 WWW Security FAQ 中關於CGI安全編程一節里列出了建議過濾的字元: &;`'\"|*?~<>^()[]{}$\n\r
這些字元由於在不同的系統或運行環境中會具有特殊意義,如變數定義/賦值/取值、非顯示字元、運行外部程序等,而被列為危險字元。W3C組織強烈建議完全過濾這些特殊字元。但在許多編程語言、開發軟體工具、資料庫甚至操作系統中遺漏其中某些特殊字元的情況時常出現,從而導致出現帶有普遍性的安全問題。1.1.1、CGI和Script編程語言的問題
在幾種國內常見的WEB編程語言中,ASP和Cold Fusion 腳本語言對特殊字元的過濾機制不夠完善,例如沒有對單引號做任何處理等。Perl和php對特殊字元的過濾則較為嚴密,如忽略或加上「\」(取消特殊字元含義)處理。C語言編寫的cgi程序對特殊字元的過濾完全依賴於程序員的知識和技術,因此也可能存在安全問題。
1.1.2、Microsoft ASP腳本
普遍存在的問題是程序員在編寫ASP腳本時,缺少或沒有對客戶端輸入的數據/變數進行嚴格的合法性分析。無意或有意輸入的特殊字元可能由於其特殊含義改變了腳本程序,從而使腳本運行出錯或執行非法操作。例如,當腳本程序需要進行資料庫操作時,惡意用戶可以利用嵌入特殊字元來突破腳本程序原先的限制。
因此,如果攻擊者輸入某些特定sql語句,可能造成資料庫資料丟失/泄漏/甚至威脅整個站點的安全。比如攻擊者可以任意創建或者刪除表(如果可以猜測出已存在的表名),清除或者更改資料庫數據。攻擊者也可能通過執行一些儲存過程函數,將sql語句的輸出結果通過電子郵件發送給自己,或者執行系統命令。
1.1.3、PHP和Perl
雖然提供了加上」\」(取消特殊字元含義)處理的手段,但是處理一些資料庫時依然可以被改寫。(我們本地的測試證實了這情況。)請閱讀下面關於資料庫問題的分析。對於MySQL則沒有問題,\'不會與前面的單引號封閉,而當作一個合法的字元處理。針對oracle和informix等資料庫暫時未進行相關測試。
另外,對於PHP或者Perl語言,很多程序對於數字類型的輸入變數,沒有加單引號予以保護,攻擊者就有可能在這種變數中加入額外的SQL語句,來攻擊資料庫或者獲得非法控制許可權。1.2、資料庫問題
不同的資料庫對安全機制的不同認識和實現方法,使它們的安全性也有所不同。最常見的問題是利用資料庫對某些字元的不正確解釋,改寫被執行的SQL語句,從而非法獲得訪問許可權。例如,Microsoft SQL Server和Sybase對 \'當作了兩個不同字元,所以僅僅在程序中加上」\」仍然可能通過一些特殊手段改寫 SQL語句突破資料庫的安全防線。Microsoft SQL Server也將」—「作為注釋符號,這個符號以後的SQL語句均被忽略,攻擊者可能利用這個來屏蔽掉某些用來認證的SQL語句(例如口令驗證),獲得對合法用戶帳號的控制權。MySQL則將\'作為一個可操作的正常字元,不存在利用\'改寫的可能。其它資料庫如Oracle、Informix和MiniSQL等也必須注意防止各種改寫SQL語句的可能。(註:另外,迄今為止,各種資料庫都或多或少地被發現存在不同程度上的安全漏洞。如Microsoft SQL拒絕服務漏洞,MySQL GRANT許可權可改變任意用戶口令的漏洞,MySQL 遠程繞過口令限制的漏洞,MiniSQL遠程緩沖區溢出漏洞,Oracle Web Listener 非授權訪問漏洞,Oracle dbsnmp符號連接漏洞,Sybase PowerDynamo目錄遍歷漏洞,等等。由於資料庫數據資料是電子商務網站的最重要部份,關繫到電子商務網站的生死存亡,因此修補各種安全漏洞,保證資料庫免受各種攻擊,是絕對必要的!)
2、 Cookie或用戶身份的常用認證問題
對於一個網站會員而言,經常存在需要一次注冊,多次認證的問題,一般採用手段為cookie或input type=hidden來傳遞認證參數。這裡面有幾點隱患:
I. 所攜帶內容必須完整包含帳號密碼,或類似的完整安全信息,如果只攜帶帳號信息或用某種許可權標志來認證,極容易造成非法入侵,我們檢測了一些電子商務網站,很多都有此類安全隱患。例如某站點中的會員更新頁面中攜帶的認證信息是兩個,用戶名和Uid(均為明文傳送)已知Uid對於每個會員是唯一的。由於我們只需要知道對方的帳號和Uid就可以更改對方信息(不需要知道密碼!),只要攻擊者知道Uid(攻擊者可以通過暴力猜測的方法來得到Uid,有時候站點本身也會泄露用戶的Uid,例如在論壇等處)那麼,攻擊者就可以通過遍歷攻擊完成對任意一個帳號的信息更改。
II. 必須所有需要許可權操作的頁面都必須執行認證判斷的操作。如果任何一頁沒有進行這種認證判斷,都有可能給攻擊者以惡意入侵的機會。
III. 很多網站為了方便,將用戶名以及口令信息儲存在Cookie中,有的甚至以明文方式保存口令。如果攻擊者可以訪問到用戶的主機,就可能通過保存的Cookie文件得到用戶名和口令。
3、 大量數據查詢導致拒絕服務
許多網站對用戶輸入內容的判斷在前台,用JavaScript判斷,如果用戶繞過前台判斷,就能對資料庫進行全查詢,如果資料庫比較龐大,會耗費大量系統資源,如果同時進行大量的這種查詢操作,就會有Denial of Service(DoS —— 拒絕服務)同樣的效果。
解決方法:
1、客戶端數據完整性和有效性檢查的解決辦法
根據目前國內電子商務網站普遍存在的安全問題,主要的原因是未對某些特殊字元——例如單引號(』)進行過濾,或過濾機制不夠完善。因此較為根本的解決方法是加強過濾機制,對用戶輸入數據進行全面的檢查。以對ASP + Microsoft SQL Server類型的網站危害比較大的單引號(』)為例。目前可以肯定的是僅僅通過加上」\」或雙引號處理是不健全的,必須杜絕單引號在處理程序的SQL語句中出現。I. 對於從客戶端接收的數據變數應該用"』"(單引號)來引用;
II. 對用戶輸入的所有數據進行合法性檢查(盡可能放在後台校驗),包括數據長度和數據內容,將其中的特殊意義字元替換或不予往下執行。例如,將"』"替換成"』』" (兩個單引號)號或用雙位元組中文單引號替換;而對於數字型變數,要檢查輸入的數據是否全為數字。
III. 對象資料庫不使用系統默認的dbo用戶。並盡量減少新增用戶的許可權;以ASP為例,具體的實現可以通過函數Replace函數來實現,如:<%
username=Replace(trim(Request.Form(「username」)),」』」,」』」)
password=Replace(trim(Request.Form(「password」)) ,」』」,」』」)
%>
以上例子將變數username與password中的字元」』」(單引號)替換成雙位元組中文單引號。如希望用戶能使用單位元組單引號」』」,可參考使用如下函數:
<%
function CheckStr(str)
dim tstr,l,i,ch
l=len(str)
for i=1 to l
ch=mid(str,i,1)
if ch="』" then
tstr=tstr+"』"
end if
tstr=tstr+ch
next
CheckStr=tstr
end function
%>該函數將需要校驗的數據中的單位元組單引號後添加了"』",這樣,送入SQL中的"』"就變成了"』』",當輸出該欄位數據時,該項內容中的"』』"輸出為"』"。對於其他的CGI編程語言,可以參照上述方法的思路進行處理。2、 Cookie或用戶身份的常用認證問題的解決辦法
由於session (會話)機制主要由伺服器控制,比利用cookie傳遞認證參數更為安全可靠,因此可使用session會話取代cookie認證。如果必須使用Cookie傳遞參數,必須將參數內容進行加密,並正確設置Cookie的有效時間。3、 大量數據查詢導致拒絕服務的解決辦法
為了安全起見,應該將可能導致出現這種拒絕服務攻擊的Javascript移植到由伺服器端執行,防止客戶端向伺服器提交過量的資料庫操作。4、 若對本次安全公告有不明之處,請與我們聯系獲得進一步的幫助。
鑒於此漏洞的嚴重性,我們將向國內站點提供解決這個安全問題的免費技術支持
❾ 電子商務交易存在的安全問題有哪些
電子商務存在的安全問題有:
1、開放性
開放性和資源共享是Internet最大的特點,但它的問題卻不容忽視的。正是這種開放性給電子商務帶來了安全威脅。
2、缺乏安全機制的傳輸協議
TCP/IP協議是建立在可信的環境之下,缺乏相應的安全機制,這種基於地址的協議本身就會泄露口令,根本沒有考慮安全問題;TCP/IP協議是完全公開的,其遠程訪問的功能使許多攻擊者無須到現場就能夠得手,連接的主機基於互相信任的原則等這些性質使網路更加不安全。
3、軟體系統的漏洞
隨著軟體系統規模的不斷增大,系統中的安全漏洞或"後門"也不可避免的存在。如cookie程序、JAVA應用程序、IE瀏覽器等這些軟體與程序都有可能給我們開展電子商務帶來安全威脅。
4、信息電子化
電子化信息的固有弱點就是缺乏可信度,電子信息是否正確完整是很難由信息本身鑒別的,而且在Internet傳遞電子信息,存在著難以確認信息的發出者以及信息是否被正確無誤地傳遞給接收方的問題。
(三)計算機網路安全威脅與商務交易安全威脅給電子商務帶來的安全問題
1、信息泄露
在電子商務中表現為商業機密的泄露,以上計算機網路安全威脅與Internet的安全隱患可能使得電子商務中的信息泄漏,主要包括兩個方面:(1)交易一方進行交易的內容被第三方竊取。(2)交易一方提供給另一方使用的文件第三方非法使用。
2、篡改
正是由於以上計算機網路安全威脅與Internet的安全隱患,電子的交易信息在網路上傳輸的過程中,可能被他人非法地修改、刪除或重放(指只能使用一次的信息被多次使用),這樣就使信息失去了真實性和完整性。
3、身份識別
正是由於電子商務交易中交易兩方通過網路來完成交易,雙方互不見面、互不認識,計算機網路的安全威脅與Internet的安全隱患,也可能使得電子商務交易中出現身交易身份偽造的問題。
4、信息破壞
計算機網路本身容易遭到一些惡意程序的破壞,如計算機病毒、特洛伊木馬程序、邏輯炸彈等,導致電子商務中的信息在傳遞過程被破壞。
5、破壞信息的有效性
電子商務中的交易過程中是以電子化的信息代替紙面信息,這些信息我們也必須保證它的時間的有效與本身信息的有效,必須能確認該信息確是由交易一方簽發的,計算機網路安全威脅與Internet的安全隱患,使得我們很難保證電子商務中的信息有效性。
6、泄露個人隱私
隱私權是參與電子商務的個人非常關心的一個問題。參與到電子商務中的個人就必須提供個人信息,計算機網路安全威脅與Internet的安全隱患有可能導致個人信息泄露,破壞到個人隱私。