電子商務草案漏洞

1. 電子商務安全隱患有哪些

恩，都對吧，應該就是這些了。以下是對目前國內電子商務站點普遍存在的幾個嚴重的安全問題的一些分析。
1、 客戶端數據的完整性和有效性檢查
1.1、特殊字元的過濾
在 W3C 的 WWW Security FAQ 中關於CGI安全編程一節里列出了建議過濾的字元： &;`'\"|*?~<>^()[]{}$\n\r
這些字元由於在不同的系統或運行環境中會具有特殊意義，如變數定義/賦值/取值、非顯示字元、運行外部程序等，而被列為危險字元。W3C組織強烈建議完全過濾這些特殊字元。但在許多編程語言、開發軟體工具、資料庫甚至操作系統中遺漏其中某些特殊字元的情況時常出現，從而導致出現帶有普遍性的安全問題。1.1.1、CGI和Script編程語言的問題
在幾種國內常見的WEB編程語言中，ASP和Cold Fusion 腳本語言對特殊字元的過濾機制不夠完善，例如沒有對單引號做任何處理等。Perl和php對特殊字元的過濾則較為嚴密，如忽略或加上「\」（取消特殊字元含義）處理。C語言編寫的cgi程序對特殊字元的過濾完全依賴於程序員的知識和技術，因此也可能存在安全問題。
1.1.2、Microsoft ASP腳本
普遍存在的問題是程序員在編寫ASP腳本時,缺少或沒有對客戶端輸入的數據/變數進行嚴格的合法性分析。無意或有意輸入的特殊字元可能由於其特殊含義改變了腳本程序，從而使腳本運行出錯或執行非法操作。例如，當腳本程序需要進行資料庫操作時，惡意用戶可以利用嵌入特殊字元來突破腳本程序原先的限制。
因此,如果攻擊者輸入某些特定sql語句,可能造成資料庫資料丟失/泄漏/甚至威脅整個站點的安全。比如攻擊者可以任意創建或者刪除表（如果可以猜測出已存在的表名），清除或者更改資料庫數據。攻擊者也可能通過執行一些儲存過程函數,將sql語句的輸出結果通過電子郵件發送給自己，或者執行系統命令。
1.1.3、PHP和Perl
雖然提供了加上」\」（取消特殊字元含義）處理的手段，但是處理一些資料庫時依然可以被改寫。（我們本地的測試證實了這情況。）請閱讀下面關於資料庫問題的分析。對於MySQL則沒有問題，\'不會與前面的單引號封閉，而當作一個合法的字元處理。針對oracle和informix等資料庫暫時未進行相關測試。
另外，對於PHP或者Perl語言，很多程序對於數字類型的輸入變數，沒有加單引號予以保護，攻擊者就有可能在這種變數中加入額外的SQL語句，來攻擊資料庫或者獲得非法控制許可權。1.2、資料庫問題
不同的資料庫對安全機制的不同認識和實現方法，使它們的安全性也有所不同。最常見的問題是利用資料庫對某些字元的不正確解釋，改寫被執行的SQL語句，從而非法獲得訪問許可權。例如，Microsoft SQL Server和Sybase對 \'當作了兩個不同字元，所以僅僅在程序中加上」\」仍然可能通過一些特殊手段改寫 SQL語句突破資料庫的安全防線。Microsoft SQL Server也將」—「作為注釋符號，這個符號以後的SQL語句均被忽略，攻擊者可能利用這個來屏蔽掉某些用來認證的SQL語句(例如口令驗證)，獲得對合法用戶帳號的控制權。MySQL則將\'作為一個可操作的正常字元，不存在利用\'改寫的可能。其它資料庫如Oracle、Informix和MiniSQL等也必須注意防止各種改寫SQL語句的可能。（註：另外，迄今為止，各種資料庫都或多或少地被發現存在不同程度上的安全漏洞。如Microsoft SQL拒絕服務漏洞，MySQL GRANT許可權可改變任意用戶口令的漏洞，MySQL 遠程繞過口令限制的漏洞，MiniSQL遠程緩沖區溢出漏洞，Oracle Web Listener 非授權訪問漏洞，Oracle dbsnmp符號連接漏洞，Sybase PowerDynamo目錄遍歷漏洞，等等。由於資料庫數據資料是電子商務網站的最重要部份，關繫到電子商務網站的生死存亡，因此修補各種安全漏洞，保證資料庫免受各種攻擊，是絕對必要的！）
2、 Cookie或用戶身份的常用認證問題
對於一個網站會員而言，經常存在需要一次注冊，多次認證的問題，一般採用手段為cookie或input type=hidden來傳遞認證參數。這裡面有幾點隱患：
I. 所攜帶內容必須完整包含帳號密碼，或類似的完整安全信息，如果只攜帶帳號信息或用某種許可權標志來認證，極容易造成非法入侵，我們檢測了一些電子商務網站，很多都有此類安全隱患。例如某站點中的會員更新頁面中攜帶的認證信息是兩個，用戶名和Uid(均為明文傳送)已知Uid對於每個會員是唯一的。由於我們只需要知道對方的帳號和Uid就可以更改對方信息（不需要知道密碼！），只要攻擊者知道Uid（攻擊者可以通過暴力猜測的方法來得到Uid，有時候站點本身也會泄露用戶的Uid,例如在論壇等處）那麼，攻擊者就可以通過遍歷攻擊完成對任意一個帳號的信息更改。
II. 必須所有需要許可權操作的頁面都必須執行認證判斷的操作。如果任何一頁沒有進行這種認證判斷，都有可能給攻擊者以惡意入侵的機會。
III. 很多網站為了方便，將用戶名以及口令信息儲存在Cookie中，有的甚至以明文方式保存口令。如果攻擊者可以訪問到用戶的主機，就可能通過保存的Cookie文件得到用戶名和口令。
3、 大量數據查詢導致拒絕服務
許多網站對用戶輸入內容的判斷在前台，用JavaScript判斷，如果用戶繞過前台判斷，就能對資料庫進行全查詢，如果資料庫比較龐大，會耗費大量系統資源，如果同時進行大量的這種查詢操作，就會有Denial of Service（DoS —— 拒絕服務）同樣的效果。
解決方法：
1、客戶端數據完整性和有效性檢查的解決辦法
根據目前國內電子商務網站普遍存在的安全問題，主要的原因是未對某些特殊字元——例如單引號（』）進行過濾，或過濾機制不夠完善。因此較為根本的解決方法是加強過濾機制，對用戶輸入數據進行全面的檢查。以對ASP + Microsoft SQL Server類型的網站危害比較大的單引號（』）為例。目前可以肯定的是僅僅通過加上」\」或雙引號處理是不健全的，必須杜絕單引號在處理程序的SQL語句中出現。I. 對於從客戶端接收的數據變數應該用"』"(單引號)來引用；
II. 對用戶輸入的所有數據進行合法性檢查（盡可能放在後台校驗），包括數據長度和數據內容，將其中的特殊意義字元替換或不予往下執行。例如，將"』"替換成"』』" (兩個單引號)號或用雙位元組中文單引號替換；而對於數字型變數，要檢查輸入的數據是否全為數字。
III. 對象資料庫不使用系統默認的dbo用戶。並盡量減少新增用戶的許可權；以ASP為例，具體的實現可以通過函數Replace函數來實現，如：<%
username=Replace(trim(Request.Form(「username」)),」』」,」』」)
password=Replace(trim(Request.Form(「password」)) ,」』」,」』」)
%>
以上例子將變數username與password中的字元」』」(單引號)替換成雙位元組中文單引號。如希望用戶能使用單位元組單引號」』」，可參考使用如下函數：
<%
function CheckStr(str)
dim tstr,l,i,ch
l=len(str)
for i=1 to l
ch=mid(str,i,1)
if ch="』" then
tstr=tstr+"』"
end if
tstr=tstr+ch
next
CheckStr=tstr
end function
%>該函數將需要校驗的數據中的單位元組單引號後添加了"』"，這樣，送入SQL中的"』"就變成了"』』"，當輸出該欄位數據時，該項內容中的"』』"輸出為"』"。對於其他的CGI編程語言，可以參照上述方法的思路進行處理。2、 Cookie或用戶身份的常用認證問題的解決辦法
由於session （會話）機制主要由伺服器控制，比利用cookie傳遞認證參數更為安全可靠，因此可使用session會話取代cookie認證。如果必須使用Cookie傳遞參數，必須將參數內容進行加密，並正確設置Cookie的有效時間。3、 大量數據查詢導致拒絕服務的解決辦法
為了安全起見，應該將可能導致出現這種拒絕服務攻擊的Javascript移植到由伺服器端執行，防止客戶端向伺服器提交過量的資料庫操作。4、 若對本次安全公告有不明之處，請與我們聯系獲得進一步的幫助。
鑒於此漏洞的嚴重性，我們將向國內站點提供解決這個安全問題的免費技術支持

2. 在電商網站開發中有哪些常見漏洞

一、常見PHP網站安全漏洞

對於PHP的漏洞，目前常見的漏洞有五種。分別是Session文件漏洞、SQL注入漏洞、腳本命令執行漏洞、全局變數漏洞和文件漏洞。這里分別對這些漏洞進行簡要的介紹。

1、session文件漏洞

Session攻擊是黑客最常用到的攻擊手段之一。當一個用戶訪問某一個網站時，為了免客戶每進人一個頁面都要輸人賬號和密碼，PHP設置了Session和Cookie用於方便用戶的使用和訪向。

2、SQL注入漏洞

在進行網站開發的時候，程序員由於對用戶輸人數據缺乏全面判斷或者過濾不嚴導致伺服器執行一些惡意信息，比如用戶信息查詢等。黑客可以根據惡意程序返回的結果獲取相應的信息。這就是月行胃的SQL注入漏洞。

3、腳本執行漏洞

腳本執行漏洞常見的原因是由於程序員在開發網站時對用戶提交的URL參數過濾較少引起的，用戶提交的URL可能包含惡意代碼導致跨站腳本攻擊。腳本執行漏洞在以前的PHP網站中經常存在，但是隨著PHP版本的升級，這些間題已經減少或者不存在了。

4、全局變數漏洞

PHP中的變數在使用的時候不像其他開發語言那樣需要事先聲明，PHP中的變數可以不經聲明就直接使用，使用的時候系統自動創建，而且也不需要對變 量類型進行說明，系統會自動根據上下文環境自動確定變數類型。這種方式可以大大減少程序員編程中出錯的概率，使用起來非常的方便。

5、文件漏洞

文件漏洞通常是由於網站開發者在進行網站設計時對外部提供的數據缺乏充分的過濾導致黑客利用其中的漏洞在Web進程上執行相應的命令。

二、PHP常見漏洞的防範措施

1、對於Session漏洞的防範

從前面的分析可以知道，Session攻擊最常見的就是會話劫持，也就是黑客通過各種攻擊手段獲取用戶的Session ID，然後利用被攻擊用戶的身份來登錄相應網站。為此，這里可以用以下幾種方法進行防範:一是定期更換Session ID，更換Session ID可以用PHP自帶函數來實現；二是更換Session名稱，通常情況下Session的默認名稱是PHPSESSID，這個變數一般是在cookie中保存的，如果更改了它的名稱，就可以阻檔黑客的部分攻擊;三是對透明化的Session ID進行關閉處理，所謂透明化也就是指在http請求沒有使用cookies來制定Session id時，Sessioin id使用鏈接來傳遞.關閉透明化Session ID可以通過操作PHP.ini文件來實現；四是通過URL傳遞隱藏參數，這樣可以確保即使黑客獲取了session數據，但是由於相關參數是隱藏的，它也很難獲得Session ID變數值。

2、對SQL注入漏洞的防範

黑客進行SQL注入手段很多，而且靈活多變，但是SQL注人的共同點就是利用輸入過濾漏洞。因此，要想從根本上防止SQL注入，根本解決措施就是加強對請求命令尤其是查詢請求命令的過濾。具體來說，包括以下幾點:一是把過濾性語句進行參數化處理，也就是通過參數化語句實現用戶信息的輸入而不是直接把用戶輸入嵌入到語句中。二是在網站開發的時候盡可能少用解釋性程序，黑客經常通過這種手段來執行非法命令；三是在網站開發時盡可能避免網站出現bug，否則黑客可能利用這些信息來攻擊網站；僅僅通過防禦SQL注入還是不夠的，另外還要經常使用專業的漏洞掃描工具對網站進行漏洞掃描。

3、對腳本執行漏洞的防範

黑客利用腳本執行漏洞進行攻擊的手段是多種多樣的，而且是靈活多變的，對此，必須要採用多種防範方法綜合的手段，才能有效防止黑客對腳本執行漏洞進行攻擊。這里常用的方法方法有以下四種。一是對可執行文件的路徑進行預先設定。

4、對全局變數漏洞防範

對於PHP全局變數的漏洞問題，以前的PHP版本存在這樣的問題，但是隨著PHP版本升級到5.5以後，可以通過對php.ini的設置來實現，設置ruquest_order為GPC。另外在php.ini配置文件中，可以通過對Magic_quotes_runtime進行布爾值設置是否對外部引人的數據中的溢出字元加反斜線。為了確保網站程序在伺服器的任何設置狀態下都能運行。

5、對文件漏洞的防範

對於PHP文件漏桐可以通過對伺服器進行設置和配置來達到防範目的。這里具體的操作如下:一是把PHP代碼中的錯誤提示關閉，這樣可以避免黑客通過錯誤提示獲取資料庫信息和網頁文件物理路徑;二是對open_basedir盡心設置，也就是對目錄外的文件操作進行禁止處理;這樣可以對本地文件或者遠程文件起到保護作用，防止它們被攻擊，這里還要注意防範Session文件和上載文件的攻擊;三是把safe-made設置為開啟狀態，從而對將要執行的命令進行規范，通過禁止文件上傳，可以有效的提高PHP網站的安全系數。

3. 電子商務的稅務問題

目前，我國電子商務已獲得了充足的發展，而針對電子商務的稅收管理卻顯得較為滯後。由於經營主體和方式的不同，電商中B2B和部分B2C均嚴格按照我國現行稅法申報納稅，較少出現漏征漏管戶。目前，我們討論的電商征稅問題主要存在於C2C形式或者以C2C的形式從事B2C交易的電商企業中。

1.未明確界定納稅義務人。納稅義務人的確定通過居民稅收管轄權和收入來源地稅收管轄權來判定。例如，通過住所來確認居民，對居民行使稅收管轄權，通過營業地確定企業，對企業行使稅收管轄權。在傳統的貿易模式下，納稅義務人身份很容易被界定;在電子商務模式下，部分既有實體店又在網上從事交易的商家其納稅義務人也很明確即為實體店鋪。然而對於由境外向境內提供服務、境內向境外提供出口的這類電子商務企業，由於交易雙方隱匿了身份、地址和交易行為，在互聯網上只有伺服器、網站和網上賬號，整個交易過程完全是在網上完成，買賣雙方難以明確，甚至無法確認這項貿易究竟發生在國內還是國外。另外，對在國外設立、租用的伺服器是否視同國際稅法中的常設機構仍存異議，有關廠商是否因此而成為該國納稅人也難以確定。

2. 未明確界定征稅對象。征稅對象指對什麼征稅，是區別一種稅與另一種稅的重要標志。根據交易對象和內容的不同將其分為有形商品、無形勞務和特許權三類，分別採用不同的課稅標准。電子商務由於其數字化、信息化的特徵，將一部分以有形形式提供的商品轉為數字形式提供，如書籍、報紙、CD及計算機軟體和無形資產等由於易被復制和下載的特性，模糊了有形商品、無形勞務及特許權之間的概念，使得商品、勞務和特許權難以分，模糊的邊界直接導致對征稅對象的難以准確把握和判定。

3. 未明確規定納稅地點。納稅地點是納稅人(包括代征、代扣、代繳義務人)繳納稅款的具體地點。納稅地點涉及到稅收管轄權和常設機構等問題，現行稅制對納稅地點以領土原則和有形原則為依據，但是由於電子商務的交易活動往往沒有固定的物理交易場所，使得納稅地點也變得十分靈活和隱匿，具有很強的流動性和隨意性。與此同時，電子商務中涉及的其他方面，如伺服器、賣方、支付方、物流所在地等可能都處在不同的位置。因此，稅務機關往往無法像對傳統交易活動那樣准確地確認納稅人的經營地或納稅行為發生地，也就無法正確行使稅收管轄權。

4. 電子商務主要是做什麼的

電子商務是以信息網路技術為手段，以商品交換為中心的商務活動；也可理解為在互聯網、企業內部網和增值網上以電子交易方式進行交易活動和相關服務的活動，是傳統商業活動各環節的電子化、網路化、信息化；以互聯網為媒介的商業行為均屬於電子商務的范疇。

電子商務可提供網上交易和管理等全過程的服務。因此，它具有廣告宣傳、咨詢洽談、網上定購、網上支付、電子賬戶、服務傳遞、意見征詢、交易管理等各項功能。

1、廣告宣傳

電子商務可憑借企業的Web伺服器和客戶的瀏覽，在Internet上發布各類商業信息。客戶可藉助網上的檢索工具迅速地找到所需商品信息，而商家可利用網上主頁和電子郵件在全球范圍內作廣告宣傳。與以往的各類廣告相比，網上的廣告成本最為低廉，而給顧客的信息量卻最為豐富。

2、咨詢洽談

電子商務可藉助非實時的電子郵件，新聞組和實時的討論組來了解市場和商品信息、洽談交易事務，如有進一步的需求，還可用網上的白板會議（Whiteboard Conference）來交流即時的圖形信息。網上的咨詢和洽談能超越人們面對面洽談的限制、提供多種方便的異地交談形式。

3、網上訂購

電子商務可藉助Web中的郵件交互傳送實現網上的訂購。網上的訂購通常都是在產品介紹的頁面上提供十分友好的訂購提示信息和訂購交互格式框。當客戶填完訂購單後，通常系統會回復確認信息單來保證訂購信息的收悉。訂購信息也可採用加密的方式使客戶和商家的商業信息不會泄漏。

4、網上支付

電子商務要成為一個完整的過程。網上支付是重要的環節。客戶和商家之間可採用信用卡賬號實施支付。在網上直接採用電子支付手段將可省略交易中很多人員的開銷。網上支付將需要更為可靠的信息傳輸安全性控制以防止欺騙、竊聽、冒用等非法行為。

5、電子賬戶

網上的支付必須有電子金融來支持，即銀行或信用卡公司及保險公司等金融單位要為金融服務提供網上操作的服務。而電子賬戶管理是其基本的組成部分。

信用卡號或銀行賬號都是電子賬戶的一種標志。而其可信度需配以必要技術措施來保證，如數字憑證、數字簽名、加密等，這些手段的應用提供了電子賬戶操作的安全性。

6、服務傳遞

對於已付了款的客戶應將其訂購的貨物盡快地傳遞到他們的手中。而有些貨物在本地，有些貨物在異地，電子郵件將能在網路中進行物流的調配。而最適合在網上直接傳遞的貨物是信息產品。如軟體、電子讀物、信息服務等。它能直接從電子倉庫中將貨物發到用戶端。

7、意見征詢

電子商務能十分方便地採用網頁上的「選擇」、「填空」等格式文件來收集用戶對銷售服務的反饋意見。這樣使企業的市場運營能形成一個封閉的迴路。客戶的反饋意見不僅能提高售後服務的水平，更使企業獲得改進產品、發現市場的商業機會。

8、交易管理

整個交易的管理將涉及人、財、物多個方面，企業和企業、企業和客戶及企業內部等各方面的協調和管理。因此，交易管理是涉及商務活動全過程的管理。電子商務的發展，將會提供一個良好的交易管理的網路環境及多種多樣的應用服務系統。這樣，能保障電子商務獲得更廣泛的應用。

(4)電子商務草案漏洞擴展閱讀：

電子商務領域監管立法進程再提速。《電子商務法（草案）》第二次提交全國人大常委會審議，草案二審稿進一步強化了電商平台對假冒偽劣產品的監督責任，並擬明確電子商務經營者不得以虛假宣傳、虛構交易、編造用戶評價等方式侵害消費者知情權。

這意味著，今後電子商務經營者「刷單」、「刷信譽」等行為或被禁止。

在業內看來，進一步細化後的草案將有效推動網路空間秩序管理，將禁止刷單等規則列入草案中，也使得未來電商規范管理有法可依。

1、平台承擔連帶責任

具體來說，草案擬規定，電子商務平台經營者知道或者應當知道平台內經營者侵犯知識產權的，應當採取刪除、屏蔽、斷開鏈接、終止交易和服務等必要措施；未採取必要措施的，與侵權人承擔連帶責任。

而原版草案則規定，電商平台「明知」平台內經營者侵犯知識產權的，應當依法採取刪除等必要措施，不難看出，二審稿進一步加強了對知識產權的保護。

從「明知」到「知道或者應當知道」的表述變化，對電商平台經營者治理假貨提出了更明確、更嚴格的要求，通過強化電商平台對侵權假冒行為的責任，體現了立法對知識產權的進一步保護。

而為進一步強化電子商務經營者特別是平台經營者的義務規范，加強消費者權益保護，草案二審稿擬規定，電子商務經營者應按照承諾或與消費者約定的方式、時限向消費者交付商品或服務，並承擔商品運輸中的風險和責任；

電子商務平台經營者對標記為自營業務的商品交易或服務交易依法承擔商品銷售者或服務提供者的責任。

針對「刷單」、「刷信譽」等不良之風，草案擬規定，電子商務經營者不得以虛假宣傳、虛構交易、編造用戶評價等方式侵害消費者知情權。

2、填補監管漏洞

草案二審稿對電子商務經營者刷單、刷信譽行為做出嚴令禁止後，可以預計，這將大幅度減少當前行業內暗藏的刷單亂象。

一名刷單手一天只要刷不足20單就可獲得100元左右的回報，如果能夠拉攏到其他單手入群，可獲取的收益會更高。甚至在平台商家競爭激烈的情況下，行業內傳出了「不刷單等死」的理論。

刷單灰黑產業猶如行業毒瘤，雖然平台打擊刷單一直處於高壓態勢，但隱蔽的刷單產業鏈利用平台沒有執法權的無奈，依然吸附於電商平台之上。

而草案二審稿中有關明確電商平台連帶責任的內容，則進一步對電商平台打擊假貨的工作提出了更高要求。實際上，強化電商平台知產保護，也就是通俗意義上堅持正品品牌、打擊假貨的問題上，一直是電商行業發展中老生常談的話題。

京東全球購因平台上有第三方商家銷售假「Tiger虎牌」保溫杯而陷入輿論風波，盡管事後京東拿出證據表明，集團與正品虎牌的授權合作早於2014年就已經展開，但第三方商家的售假行為仍不能徹底打消社會各界的疑慮。

3、政策仍存細化空間

目前仍處審議階段的電子商務法距正式出台尚有一段時日，各界對法案進一步細化也抱有較高期望。電子商務法草案的進一步細化顯然將進一步推動我國網路空間的秩序管理。

除了將禁止刷單的行為增加在草案中，後續還需要考慮如何對刷單處罰措施進行細化，但考慮到互聯網行業所存在的特性，草案內容的細化乃至落地實施仍需要經歷一段持續推進的過程。

而在假貨治理方面，如果說原草案中對電商平台承擔連帶責任的限定條件是平台存在主觀放縱，在草案二審稿中的表述則意味著，電商平台需要進一步做到在商家審批、入駐環節的審核強化，甚至對於一些消費者在評論中提到的售假線索也要做出相應的線索追蹤。

今後電子商務法應增加媒體購物的相關內容，網路購物與電視購物、電話購物、廣播購物、報紙購物相結合的模式大量存在，電子商務的發展呈現出一種全渠道趨勢，此外，現在流行的一些網路直播以及相關經濟行為，也採取攝像和錄像的方式向消費者呈現，這與傳統電視媒體並無二致。

5. 電子商務是做什麼的

您好

電子商務是以信息網路技術為手段，以商品交換為中心的商務活動；也可理解為在互聯網、企業內部網和增值網上以電子交易方式進行交易活動和相關服務的活動，是傳統商業活動各環節的電子化、網路化、信息化；以互聯網為媒介的商業行為均屬於電子商務的范疇。

電子商務可提供網上交易和管理等全過程的服務。因此，它具有廣告宣傳、咨詢洽談、網上定購、網上支付、電子賬戶、服務傳遞、意見征詢、交易管理等各項功能。

1、廣告宣傳

電子商務可憑借企業的Web伺服器和客戶的瀏覽，在Internet上發布各類商業信息。客戶可藉助網上的檢索工具迅速地找到所需商品信息，而商家可利用網上主頁和電子郵件在全球范圍內作廣告宣傳。與以往的各類廣告相比，網上的廣告成本最為低廉，而給顧客的信息量卻最為豐富。

2、咨詢洽談

電子商務可藉助非實時的電子郵件，新聞組和實時的討論組來了解市場和商品信息、洽談交易事務，如有進一步的需求，還可用網上的白板會議（Whiteboard Conference）來交流即時的圖形信息。網上的咨詢和洽談能超越人們面對面洽談的限制、提供多種方便的異地交談形式。

3、網上訂購

電子商務可藉助Web中的郵件交互傳送實現網上的訂購。網上的訂購通常都是在產品介紹的頁面上提供十分友好的訂購提示信息和訂購交互格式框。當客戶填完訂購單後，通常系統會回復確認信息單來保證訂購信息的收悉。訂購信息也可採用加密的方式使客戶和商家的商業信息不會泄漏。

4、網上支付

電子商務要成為一個完整的過程。網上支付是重要的環節。客戶和商家之間可採用信用卡賬號實施支付。在網上直接採用電子支付手段將可省略交易中很多人員的開銷。網上支付將需要更為可靠的信息傳輸安全性控制以防止欺騙、竊聽、冒用等非法行為。

5、電子賬戶

網上的支付必須有電子金融來支持，即銀行或信用卡公司及保險公司等金融單位要為金融服務提供網上操作的服務。而電子賬戶管理是其基本的組成部分。

信用卡號或銀行賬號都是電子賬戶的一種標志。而其可信度需配以必要技術措施來保證，如數字憑證、數字簽名、加密等，這些手段的應用提供了電子賬戶操作的安全性。

6、服務傳遞

對於已付了款的客戶應將其訂購的貨物盡快地傳遞到他們的手中。而有些貨物在本地，有些貨物在異地，電子郵件將能在網路中進行物流的調配。而最適合在網上直接傳遞的貨物是信息產品。如軟體、電子讀物、信息服務等。它能直接從電子倉庫中將貨物發到用戶端。

7、意見征詢

電子商務能十分方便地採用網頁上的「選擇」、「填空」等格式文件來收集用戶對銷售服務的反饋意見。這樣使企業的市場運營能形成一個封閉的迴路。客戶的反饋意見不僅能提高售後服務的水平，更使企業獲得改進產品、發現市場的商業機會。

8、交易管理

整個交易的管理將涉及人、財、物多個方面，企業和企業、企業和客戶及企業內部等各方面的協調和管理。因此，交易管理是涉及商務活動全過程的管理。電子商務的發展，將會提供一個良好的交易管理的網路環境及多種多樣的應用服務系統。這樣，能保障電子商務獲得更廣泛的應用。

(5)電子商務草案漏洞擴展閱讀：

電子商務領域監管立法進程再提速。《電子商務法（草案）》第二次提交全國人大常委會審議，草案二審稿進一步強化了電商平台對假冒偽劣產品的監督責任，並擬明確電子商務經營者不得以虛假宣傳、虛構交易、編造用戶評價等方式侵害消費者知情權。

這意味著，今後電子商務經營者「刷單」、「刷信譽」等行為或被禁止。

在業內看來，進一步細化後的草案將有效推動網路空間秩序管理，將禁止刷單等規則列入草案中，也使得未來電商規范管理有法可依。

1、平台承擔連帶責任

具體來說，草案擬規定，電子商務平台經營者知道或者應當知道平台內經營者侵犯知識產權的，應當採取刪除、屏蔽、斷開鏈接、終止交易和服務等必要措施；未採取必要措施的，與侵權人承擔連帶責任。

而原版草案則規定，電商平台「明知」平台內經營者侵犯知識產權的，應當依法採取刪除等必要措施，不難看出，二審稿進一步加強了對知識產權的保護。

從「明知」到「知道或者應當知道」的表述變化，對電商平台經營者治理假貨提出了更明確、更嚴格的要求，通過強化電商平台對侵權假冒行為的責任，體現了立法對知識產權的進一步保護。

而為進一步強化電子商務經營者特別是平台經營者的義務規范，加強消費者權益保護，草案二審稿擬規定，電子商務經營者應按照承諾或與消費者約定的方式、時限向消費者交付商品或服務，並承擔商品運輸中的風險和責任；

電子商務平台經營者對標記為自營業務的商品交易或服務交易依法承擔商品銷售者或服務提供者的責任。

針對「刷單」、「刷信譽」等不良之風，草案擬規定，電子商務經營者不得以虛假宣傳、虛構交易、編造用戶評價等方式侵害消費者知情權。

2、填補監管漏洞

草案二審稿對電子商務經營者刷單、刷信譽行為做出嚴令禁止後，可以預計，這將大幅度減少當前行業內暗藏的刷單亂象。

一名刷單手一天只要刷不足20單就可獲得100元左右的回報，如果能夠拉攏到其他單手入群，可獲取的收益會更高。甚至在平台商家競爭激烈的情況下，行業內傳出了「不刷單等死」的理論。

刷單灰黑產業猶如行業毒瘤，雖然平台打擊刷單一直處於高壓態勢，但隱蔽的刷單產業鏈利用平台沒有執法權的無奈，依然吸附於電商平台之上。

而草案二審稿中有關明確電商平台連帶責任的內容，則進一步對電商平台打擊假貨的工作提出了更高要求。實際上，強化電商平台知產保護，也就是通俗意義上堅持正品品牌、打擊假貨的問題上，一直是電商行業發展中老生常談的話題。

京東全球購因平台上有第三方商家銷售假「Tiger虎牌」保溫杯而陷入輿論風波，盡管事後京東拿出證據表明，集團與正品虎牌的授權合作早於2014年就已經展開，但第三方商家的售假行為仍不能徹底打消社會各界的疑慮。

3、政策仍存細化空間

目前仍處審議階段的電子商務法距正式出台尚有一段時日，各界對法案進一步細化也抱有較高期望。電子商務法草案的進一步細化顯然將進一步推動我國網路空間的秩序管理。

除了將禁止刷單的行為增加在草案中，後續還需要考慮如何對刷單處罰措施進行細化，但考慮到互聯網行業所存在的特性，草案內容的細化乃至落地實施仍需要經歷一段持續推進的過程。

而在假貨治理方面，如果說原草案中對電商平台承擔連帶責任的限定條件是平台存在主觀放縱，在草案二審稿中的表述則意味著，電商平台需要進一步做到在商家審批、入駐環節的審核強化，甚至對於一些消費者在評論中提到的售假線索也要做出相應的線索追蹤。

今後電子商務法應增加媒體購物的相關內容，網路購物與電視購物、電話購物、廣播購物、報紙購物相結合的模式大量存在，電子商務的發展呈現出一種全渠道趨勢，此外，現在流行的一些網路直播以及相關經濟行為，也採取攝像和錄像的方式向消費者呈現，這與傳統電視媒體並無二致。

6. 電子商務安全存在哪些問題怎麼解決

(一)計算機網路安全威脅
電子商務包含「三流」：信息流、資金流、物流，「三流」中以信息流為核心為最重要，電子商務正是通過信息流為帶動資金流、物流的完成。計算機網路的安全必將影響電子商務中的「信息流」的傳遞，勢必影響電子商務的開展。計算機網路存在以下安全威脅：
1.黑客攻擊
黑客攻擊是指黑客非法進入網路，非法使用網路資源。
2.計算機病毒的攻擊
病毒是能夠破壞計算機系統正常進行，具有傳染性的一段程序。
3.拒絕服務攻擊
拒絕服務攻擊(DoS)是一種破壞性的攻擊，它是一個用戶採用某種手段故意佔用大量的網路資源，使系統沒有剩餘資源為其他用戶提供服務的攻擊。

(二)商務交易安全威脅
Internet存在以下安全隱患：
1.開放性
開放性和資源共享是Internet最大的特點，但它的問題卻不容忽視的。正是這種開放性給電子商務帶來了安全威脅。
2.缺乏安全機制的傳輸協議
TCP／IP協議是建立在可信的環境之下，缺乏相應的安全機制，這種基於地址的協議本身就會泄露口令，根本沒有考慮安全問題；
3.軟體系統的漏洞
隨著軟體系統規模的不斷增大，系統中的安全漏洞或「後門」也不可避免的存在。
4.信息電子化
電子化信息的固有弱點就是缺乏可信度，電子信息是否正確完整是很難由信息本身鑒別的，而且在Internet傳遞電子信息，存在著難以確認信息的發出者以及信息是否被正確無誤地傳遞給接收方的問題。
(三)計算機網路安全威脅與商務交易安全威脅給電子商務帶來的安全問題
1.信息泄露
在電子商務中表現為商業機密的泄露，以上計算機網路安全威脅與Internet的安全隱患可能使得電子商務中的信息泄漏，
2.篡改
正是由於以上計算機網路安全威脅與Internet的安全隱患，電子的交易信息在網路上傳輸的過程中，可能被他人非法地修改、刪除或重放(指只能使用一次的信息被多次使用)，這樣就使信息失去了真實性和完整性。
3.身份識別
正是由於電子商務交易中交易兩方通過網路來完成交易，雙方互不見面、互不認識，計算機網路的安全威脅與Internet的安全隱患，也可能使得電子商務交易中出現身交易身份偽造的問題。
4.信息破壞
計算機網路本身容易遭到一些惡意程序的破壞，如計算機病毒、特洛伊木馬程序、邏輯炸彈等，導致電子商務中的信息在傳遞過程被破壞。
5.破壞信息的有效性
電子商務中的交易過程中是以電子化的信息代替紙面信息，這些信息我們也必須保證它的時間的有效與本身信息的有效，必須能確認該信息確是由交易一方簽發的，計算機網路安全威脅與Internet的安全隱患，使得我們很難保證電子商務中的信息有效性。
6.泄露個人隱私
隱私權是參與電子商務的個人非常關心的一個問題。參與到電子商務中的個人就必須提供個人信息，計算機網路安全威脅與Internet的安全隱患有可能導致個人信息泄露，破壞到個人隱私

解決方法：
一)利用電子商務安全技術 1.計算機網路安全技術
電子商務中利用的重要工具計算機網路，存在著很多的安全威脅，計算機網路的建立足我們開展電子商務的基礎，我們要保證電子商務的安全，首先就要保證計算機網路的安全。
(1)防火牆技術
(2)入侵檢測系統(IDS)，入侵檢測的軟體與硬體的組合就是入侵檢測系統(Intrusion Detection System，簡稱IDS)。
(3)虛擬專用網(VPN)技術
(4)病毒防治技術
電子商務中的計算機網路不斷受到病毒攻擊的危害，為了把計算機病毒的危害減小到最低，我們可以從以下幾方面從入手：一是高度重視計算機病毒；二是安裝計算機病毒防治軟體，不斷更新病毒庫。
2.商務交易安全技術
為了營造一個安全的電子商務環境，我們一定要保證傳統的商務活動在互聯網上進行的安全，我們就應該建立一個電子商務的安全體系，
(1)基本加密技術
將明文數據進行某種變換，使其成為不可理解的形式，這個過程就是加密，這種不可理解的形式稱為密文。
(2)安全認證手段
利用基本加密技術還只能保證電子商務中信息的保密性
①利用數字信封技術保證電子商務中信息的保密性。
②利用以Hash函數為核心的數字摘要技術來保證電子商務中信息的完整性。
③建立CA認證體系給電子商務交易各方發放數字證書，
④利用數字時間戳來保證電子商務中信息的有效性。
⑤利用數字簽名技術來保證電子商務中的通信的不可抵賴、不可否認，信息的有效性。
(3)安全協議
必須把安全認證手段跟安全協議配合起來建立電子商務安全解決方案。目前電子商務中有兩種安全認證協議被廣泛使用，即安全套接層SSL(Secure Sockets Layer)協議和安全電子交易SET(Secure Electronic Transaction)協議。
(二)制定電子商務安全管理制度
電子商務安全管理制度是用文字形式對各項安全要求所做的規定，這些制度應該包括人員管理制度、保密制度、跟蹤審計制度、系統維護制度、數據備份制度、病毒定期清理制度等。
(三)加強誠信教育，建立社會誠信體系
電子商務中的很多安全問題比如交易的抵賴、否認、個人隱私權的破壞，說到底還是人的誠信問題，為了促進電子商務更好的發展，打消消費者對於電子商務的安全顧慮，我們應該加強誠信教育，建立社會誠信體系。

7. 電商主要是做什麼的

廣義上的電子商務，其實指的是通過電子手段所進行的商業事務活動。狹義回上指的是商業活動，而答廣義上則泛指事務活動。

事務活動，其實就是利用網路電子技術，極大提升企業的經營效率或是降低企業運營成本。通過互聯網，使企業公司內部、供應商、客戶和合作夥伴之間利用電子業務共享信息，打造信息對等透明，以提高企業的生產、庫存、流通和資金等各個環節的效率。

所以廣義上的電子商務，更多是用來提振企業經營效率的，而非是直接面向於消費者端，因此廣義上的電子商務，知道的人自然就少。

如現在許多非常流行的針對企業端的SaaS軟體或者服務，如雲服務、查企業、人脈資源等等，這些就是在企業埠所做的電子商務模式。

(7)電子商務草案漏洞擴展閱讀

B2B的一種實現是其在傳統企業中的應用。有些傳統企業的實質性業務，正在逐步向B2B轉變，更多地以WEB方式來傳遞信息和實現網路(互聯網)上訂單，但物流方式就和之前沒啥變化。

以通用汽車為例，通用汽車建立了1個B2B電子商務網站——TradeXchange，計劃在今年年底之間，將其每年高達870億美元的采購業務完全通過該網站進行。

8. 電子商務法草案面臨的問題有哪些應該如何解決

電子商務法草案面臨的問題如下：

1. 電子商務法規范對象如何界定；

2. 電子商務經營主體是否應該考慮將物流企業納入；

3. 關於電商第三平台「先行賠付」問題等。

9. 電子商務所面臨的安全問題有哪些

電子商務的安全問題主要有以下幾點：
1.交易信息內容被篡改

從貿易活動角度上看，交易信息是商務活動中進行貿易活動所形成的一種信息，包括了客戶訂單信息、訂單確認信息、客戶個人信息等。這些信息具有一定機密性，在信息傳遞過程中利用Internet或電話網對這些交易信息進行篡改或截獲與惡意破壞。

2.電子支付信息盜取

電子支付信息是在商務活動中進行一種支付方式。支付信息包括客戶銀行賬戶、密碼、個人銀行識別碼等信息。這些信息具有絕對機密性，防止非法者盜用信息，偽造假身份進入系統，利用這些信息進行非法活動，是電子商務活動中必須要解決的問題。

3.系統漏洞

非法者藉助電子商務系統存在的漏洞進行進入系統，對系統中的數據進行篡改，取消用戶訂單信息，生成虛假信息等方式。

二、引起電子商務信息不安全的主要因素

電子商務是建立在互聯網應用平台上一種商務活動，它在為電子商務提供網路技術保證的同時，也是引起電子商務信息不安全的主要因素，產生這些不安全的主要因素包括：

1.互聯網的開發性和共享性

由於電子商務是建立互聯網技術平台上的一種商務活動，它繼承了互聯網的開放性和共享性，打破地域之間的界限，讓用戶能夠在不同地域自由地進行溝通與交流，形成一個全球化的完整整體。與此同時，這也是為泄漏信息，非法散布信息提供一個平台。如客戶信息家庭地址、客戶聯系電話、客戶銀行賬號、客戶密碼等重要信息的泄漏。

2.互聯網上的Cookie技術的應用

很多網站為了便於用戶在登錄或瀏覽時能夠快速對網站進行瀏覽，都需要新用戶在第一次登錄時進行注冊，用戶信息都被自動記錄到該網站上，再進行登錄時網站會自動識別這些信息。如電子郵箱、網站會員等。形成這種方式就是利用互聯網上的Cookie技術。Cookie技術能夠收集用戶的信息，當非法人獲得了這些信息，就很容易將這些信息進行泄漏或轉為其他使用，給用戶個人信息的不安全帶來隱患。

3.電子商務產品的不過硬

目前，有一些小型的電子商務網站在追求利益同時忽略電子商務安全產品的質量，有些產品在安全措施是採用「移植」其他安全技術，也有些廠商對電子商務安全技術欠缺足夠了解，使得產品安全技術不過硬，引起在電子商務活動的過程中造成了信息不安全。

4.電子商務管理體制不健全

目前雖然我國政府已將電子商務的管理提上日程，在一定程度上建立並制定了有關的電子商務立法和政策，為我國電子商務發展提供了基本的法律保障，但仍在某些地方還不成熟，還需要進一步的完善。如如何引入電子簽名、電子簽章、數字簽名等管理方式保障信息的安全，如何明確在交易過程中雙方的責任，如何在交易過程中保障信息的不泄露等方面。

信息摘自《長風網》網路「電子商務安全」，裡面好像也有具體的應對對策，希望可以幫到你哦~~