电子商务中的安全隐患主要有

1. 电子商务系统存在的安全隐患有哪些

当前,电子商务存在的安全隐患形式多样,概而言之,主要表现为“外在因素”和“内在因素”两个方面。
1. 安全隐患存在的外在因素。外在因素主要表现为电子商务存在的非技术性环境,涉及的是社会文
化、制度规范等方面的外在因素。电子商务近几年迅猛发展,但许多地方都缺乏足够的技术人才来处理
所遇到的各种问题,不少电子商务的开发商对网络技术很熟悉,但是对安全技术了解甚少,因而难以开发
出真正实用的、安全的产品。在当前国际互联网的制度框架内,对安全协议还没有全球的标准和规范,制
约了国际性商务活动。在电子商务的虚拟社区里,电子交易衍生了一系列法律问题,例如网络交易纠纷
的仲裁,网络交易契约等问题,急需为电子商务提供法律保障。同时,在税收问题上,电子商务的发展在
促进贸易增加税务的同时又对税收制度及其管理手段提出了新要求。这些外在因素的不成熟,都成为电
子商务发展的障碍。
2. 安全隐患存在的内在因素。内在因素主要涉及的是电子商务的科学技术层面,是电子技术的问
题。网络犯罪分子可以利用电子商务存在的技术漏洞,通过非法手段盗用合法用户的身份信息,仿冒合
法用户的身份与他人进行交易,从而获得非法利益。或者通过物理或逻辑的手段,在网络传输信号的过
程中,对数据进行非法的截获与监听,从而得到通信中敏感的信息,并对截获后的信息进行篡改,如修改
消息次序、时间、注入伪造消息等,从而使信息失去真实性和完整性,使合法接入的信息、业务或其他资源
受阻,例如使一个业务口被滥用而使其他用户不能正常工作。从地理空间而言,电子政务地理空间信息
的需求更高。[3 ] 另外,计算机网络会经常遭受非法的入侵攻击以及计算机病毒的破坏。
概而言之,电子商务的安全,也就是电子系统的安全,而电子商务系统的关键是保证交易数据和交易
过程的安全。

2. 常见电子商务的安全隐患有哪些

身份认证：由于非法用户可以伪造、假冒电子商务网站和用户的身份，因此登录到电子商务应用系统的客户无法知道他们所登录的网站是否是可信的电子商务网站，电子商务网站也无法验证登录到网站上的客户是否是经过认证的合法用户，非法用户可以借机进行破坏。"用户名＋口令"的传统认证方式安全性较弱，用户口令易被窃取而导致损失。

信息的完整性：敏感信息和交易数据在传输过程中有可能被恶意篡改。

信息的不可抵赖性：网上交易行为一旦被进行交易的一方所否认，另一方没有已签名的记录来作为仲裁的依据。针对这些安全隐患，很多科技公司提出了一套实用的、易于实施的电子商务安全认证解决方案，通过为交易的各方发放数字证书来对交易的各方进行身份标识，并且在交易的过程中通过使用数字证书对交易的双方进行身份验证和签名验证，最终满足电子商务的安全需求，有效地防止各种电子商务安全隐患。

3. 简述电子商务的安全隐患与解决措施

1、数据传输安全隐患。

电子商务是在开放的互联网上进行的贸易，大量的商务信息在计算机和网络上上存放、传输，从而形成信息传输风险。因此措施可以通过采用数据加密（包括秘密密钥加密和公开密钥加密）来实现的，数字信封技术是结合密钥加密和公开密钥加密技术实现的。

2、数据完整性的安全隐患。

数据的完整性安全隐患是指数据在传输过程中被篡改。因此确保数据不被篡改的措施可以通过采用安全的散列函数和数字签名技术来实现的。双重数字签名可以用于保证多方通信时数据的完整性。

3、身份验证的安全隐患。

网上通信双方互不见面，在交易或交换敏感信息时确认对方等真实身份以及确认对方的账户信息的真实与否，为身份验证的安全隐患。解决措施可以通过采用口令技术、公开密钥技术或数字签名技术和数字证书技术来实现的。

4、交易抵赖的安全隐患。

网上交易的各方在进行数据传输时，当发生交易后交易双方不认可为本人真实意愿的表达而产生的抵赖安全隐患。措施为交易时必须有自身特有的、无法被别人复制的信息，以保证交易发生纠纷时有所对证，可以通过数字签名技术和数字证书技术来实现的。

(3)电子商务中的安全隐患主要有扩展阅读：

电子商务分类：

1、企业对企业的电子商务（B2B）；

2、企业对消费者的电子商务（B2C）；

3、企业对政府的电子商务（B2G）；

4、消费者对政府的电子商务（C2G）；

5、消费者对消费者的电子商务（C2C）；

6、企业、消费者、代理商三者相互转化的电子商务（ABC）；

7、以消费者为中心的全新商业模式（C2B2S）；

8、以供需方为目标的新型电子商务（P2D）。

4. 电子商务的交易安全隐患有哪些

电子商务是现代信息技术和传统商务活动相结合的产物。它已经逐渐成为人们进行商务活动的新模式，越来越多的人们通过Internet进行商务活动,而安全问题也变得越来越突出。电子商务的载体是互联网，但互联网的共享性、开放性和匿名性却给电子商务安全问题带来了极大的隐患，使得电子商务受到威胁、攻击的可能性大大增加。
1.电子商务安全内涵
电子商务的安全主要是指用户方和提供产品服务方的安全,即双方信息都要保密,用户账号不能被第三方获知,提供产品或服务方的订货和付款信息等商业秘密也不能为竞争对手所知,并且商务活动一旦达成,相关信息未经双方协定,不可更改、不能否认。
2.电子商务的安全需求
电子商务主要依托运作的环境是当前的国际互联网和未来的国际信息基础设施。网络是从事电子商务机构安身立命的工作环境，其安全需求也表现在以下几个方面：
(1)网站的安全维护。

（2)电子商务中安全支付。

（3)商业秘密的安全保护。

（4)电子商务中知识产权 的保护。
电子商务中存在的安全问题
1.电子商务面临的网络系统安全问题
电子商务系统是依赖网络实现的商务系统，需要利用Internet基础设施和标准，所以构成电子商务安全框架的底层是网络服务层，它提供信息传送的载体和用户接入的手段，是各种电子商务应用系统的基础，为电子商务系统提供了基本、灵活的网络服务。电子商务网络系统安全问题包括以下几个方面:（1)网络部件的不安全因素。(2)软件不安全因素。(3)工作人员的不安全因素。(4)自然环境因素。
2.电子商务面临的电子支付系统安全问题
众所周知，基于Internet平台的电子商务支付系统由于涉及到客户、商家、银行 及认证部门等多方机构，以及它们之间可能的资金划拨，所以客户和商家在进行网上交易时必须充分考虑其系统的安全。目前网上支付中面临的主要安全问题有以下几方面:
(1)支付账号和密码等隐私支付信息在网络传送过程中被窃取或盗用。
(2)支付金额被更改。
(3)不能有效验证收款人的身份

此外还存在信息泄漏隐患

在电子商务中表现为商业机密的泄漏,主要包括两个方面:交易双方进行交易的内容被第三方窃取；交易一方提供给另一方使用的文件被第三方非法使用。如信用卡的账号和用户名被人获悉，就可能被盗用。

5. 电子商务网站面临的主要安全问题有哪些

电子商务简单的说就是利用Internet进行的交易活动，电子商务："电子"+"商务"，从电子商务的定义可以了解电子商务的安全也就相应的分为两个方面的安全：一方面是"电子"方面的安全，就是电子商务的开展必须利用Internet来进行，而Internet本身也属于计算机网络，所以电子商务的第一个方面的安全就是计算机网络的安全，它包括计算机网络硬件的安全与计算机网络软件的安全，计算机网络存在着很多安全威胁，也就给电子商务带来了安全威胁；另一方面是"商务"方面的安全，是把传统的商务活动在Internet上开展时，由干Internet存着很多安全隐患给电子商务带来了安全威胁，简称为"商务交易安全威胁"。这两个方面的安全威胁也就给电子商务带来了很多安全问题：
（一）计算机网络安全威胁
电子商务包含"三流"：信息流、资金流、物流，"三流"中以信息流为核心为最重要，电子商务正是通过信息流为带动资金流、物流的完成。电子商务跟传统商务的最重要的区别就是以计算机网络来传递信息，促进信息流的完成。计算机网络的安全必将影响电子商务中的"信息流"的传递，势必影响电子商务的开展。计算机网络存在以下安全威胁：
1、黑客攻击
黑客攻击是指黑客非法进入网络，非法使用网络资源。随着互联网的发展，黑客攻击也是经常发生，防不胜防，黑客利用网上的任何漏洞和缺陷修改网页、非法进入主机、窃取信息等进行相关危害活动。2003年，仅美国国防部的"五角大楼"就受到了了230万次对其网络的尝试性攻击。从这里可以看出，目前黑客攻击已成为了电子商务中计算机网络的重要安全威胁。
2、计算机病毒的攻击
病毒是能够破坏计算机系统正常进行，具有传染性的一段程序。随着互联网的发展，病毒利用互联网，使得病毒的传播速度大大加快，它侵入网络，破坏资源，成为了电子商务中计算机网络的又一重要安全威胁。
3、拒绝服务攻击
拒绝服务攻击（DoS）是一种破坏性的攻击，它是一个用户采用某种手段故意占用大量的网络资源，使系统没有剩余资源为其他用户提供服务的攻击。目前具有代表性的拒绝服务攻击手段包括SYNflood、ICMPflood、UDPflood等。随着互联网的发展，拒绝服务攻击成为了网络安全中的重要威胁。
（二）商务交易安全威胁
把传统的商务活动在Internet上进行，由于Internet本身的特点，存在着很多安全威胁，给电子商务带来了安全问题。Internet的产生源于计算机资源共享的需求，具有很好的开放性，但正是由子它的开放性，使它产生了更严重的安全问题。Internet存在以下安全隐患：
1、开放性
开放性和资源共享是Internet最大的特点，但它的问题却不容忽视的。正是这种开放性给电子商务带来了安全威胁。
2、缺乏安全机制的传输协议
TCP／IP协议是建立在可信的环境之下，缺乏相应的安全机制，这种基于地址的协议本身就会泄露口令，根本没有考虑安全问题；TCP／IP协议是完全公开的，其远程访问的功能使许多攻击者无须到现场就能够得手，连接的主机基于互相信任的原则等这些性质使网络更加不安全。
3、软件系统的漏洞
随着软件系统规模的不断增大，系统中的安全漏洞或"后门"也不可避免的存在。如cookie程序、JAVA应用程序、IE浏览器等这些软件与程序都有可能给我们开展电子商务带来安全威胁。
4、信息电子化
电子化信息的固有弱点就是缺乏可信度，电子信息是否正确完整是很难由信息本身鉴别的，而且在Internet传递电子信息，存在着难以确认信息的发出者以及信息是否被正确无误地传递给接收方的问题。
（三）计算机网络安全威胁与商务交易安全威胁给电子商务带来的安全问题
1、信息泄露
在电子商务中表现为商业机密的泄露，以上计算机网络安全威胁与Internet的安全隐患可能使得电子商务中的信息泄漏，主要包括两个方面：（1）交易一方进行交易的内容被第三方窃取。（2）交易一方提供给另一方使用的文件第三方非法使用。
2、篡改
正是由于以上计算机网络安全威胁与Internet的安全隐患，电子的交易信息在网络上传输的过程中，可能被他人非法地修改、删除或重放（指只能使用一次的信息被多次使用），这样就使信息失去了真实性和完整性。
3、身份识别
正是由于电子商务交易中交易两方通过网络来完成交易，双方互不见面、互不认识，计算机网络的安全威胁与Internet的安全隐患，也可能使得电子商务交易中出现身交易身份伪造的问题。
4、信息破坏
计算机网络本身容易遭到一些恶意程序的破坏，如计算机病毒、特洛伊木马程序、逻辑炸弹等，导致电子商务中的信息在传递过程被破坏。
5、破坏信息的有效性
电子商务中的交易过程中是以电子化的信息代替纸面信息，这些信息我们也必须保证它的时间的有效与本身信息的有效，必须能确认该信息确是由交易一方签发的，计算机网络安全威胁与Internet的安全隐患，使得我们很难保证电子商务中的信息有效性。
6、泄露个人隐私
隐私权是参与电子商务的个人非常关心的一个问题。参与到电子商务中的个人就必须提供个人信息，计算机网络安全威胁与Internet的安全隐患有可能导致个人信息泄露，破坏到个人隐私。

6. 电子商务交易过程中包括哪些安全问题

电子商务交易过程中的安全问题主要包括四个方面：

1、信息被泄露。

主要表现为交易双方进行交易的内容被第三方窃取，交易一方提供给另一方使用的文件被第三方非法使用两个方面。

攻击者可以通过互联网、公用电话网、搭线或在电磁波辐射范围内安装截收装置等方式，截获在网上传输的机密信息，或通过对网上信息流量和流向、通信频度和长度等参数的分析，获取有用信息，如银行账号、密码等。

2、信息被篡改。

表现为电子的交易信息在网络上传输的过程中，被他人非法地修改、删除、插入或重放（即只能使用一次的信息被多次使用），使接收方接收到错误的信息，使信息失去了真实性和完整性。

3、身份识别。

进行身份识别后，就不会出现第三方假冒交易一方的身份破坏交易、破坏被假冒一方的信誉或盗取被假冒一方的交易成果等情形，同时，还可以约束交易双方对自己的行为负责，对发送和接收的信息都不能予以否认。

4、信息被破坏。

表现为由于网络的硬件或软件出现问题而导致信息传递的丢失与谬误，以及计算机网络本身遭到一些恶意程序的破坏，而使得电子商务信息遭到破坏两个方面。

(6)电子商务中的安全隐患主要有扩展阅读：

电子商务交易过程中防范安全问题的方法：

1、信息保密性。

交易中的商务信息均有保密的要求。如信用卡的账号和用户名被人知悉，就可能被盗用，订货和付款的信息被竞争对手获悉，就可能丧失商机。因此，在电子商务信息传播中一般均有加密的要求。

2、交易者身份的确定性。

网上交易的双方很可能素昧平生，相隔千里。要使交易成功，首先要能确认对方的身份，商家要考虑客户端不能是骗子，而客户也会担心网上的商店是不是一个玩弄欺诈的黑店。因此，能方便而可靠地确认对方身份是交易的前提。

3、不可否认性。

由于商情的千变万化，交易一旦达成是不能被否认的，否则必然会损害一方的利益。例如订购黄金，订货时金价较低，但收到订单后，金价上涨了，若收单方能否认收到订单的实际时间，甚至否认收到订单的事实，则订货方就会蒙受损失。

因此，电子交易通信过程中的各个环节都必须是不可否认的。

4、信息的完整性。

交易的文件是不可被修改的，信息接收方可以验证收到的信息是否完整一致，是否被人篡改。如上例所举的订购黄金，供货单位在收到订单后，发现金价大幅上涨了。

若其能改动文件内容，将订购数1kg改为1g，则可大幅受益，那么订货单位可能就会因此而蒙受损失。因此，电子交易文件也必须做到不可修改，以保障交易的严肃和公正。

5、系统的可靠性。

电子商务系统是计算机系统，其可靠性是指防止计算机失效、程序错误、传输错误、自然灾害等引起的计算机信息失误或失效。

7. 电子商务安全隐患有哪些

恩，都对吧，应该就是这些了。以下是对目前国内电子商务站点普遍存在的几个严重的安全问题的一些分析。
1、 客户端数据的完整性和有效性检查
1.1、特殊字符的过滤
在 W3C 的 WWW Security FAQ 中关于CGI安全编程一节里列出了建议过滤的字符： &;`'\"|*?~<>^()[]{}$\n\r
这些字符由于在不同的系统或运行环境中会具有特殊意义，如变量定义/赋值/取值、非显示字符、运行外部程序等，而被列为危险字符。W3C组织强烈建议完全过滤这些特殊字符。但在许多编程语言、开发软件工具、数据库甚至操作系统中遗漏其中某些特殊字符的情况时常出现，从而导致出现带有普遍性的安全问题。1.1.1、CGI和Script编程语言的问题
在几种国内常见的WEB编程语言中，ASP和Cold Fusion 脚本语言对特殊字符的过滤机制不够完善，例如没有对单引号做任何处理等。Perl和php对特殊字符的过滤则较为严密，如忽略或加上“\”（取消特殊字符含义）处理。C语言编写的cgi程序对特殊字符的过滤完全依赖于程序员的知识和技术，因此也可能存在安全问题。
1.1.2、Microsoft ASP脚本
普遍存在的问题是程序员在编写ASP脚本时,缺少或没有对客户端输入的数据/变量进行严格的合法性分析。无意或有意输入的特殊字符可能由于其特殊含义改变了脚本程序，从而使脚本运行出错或执行非法操作。例如，当脚本程序需要进行数据库操作时，恶意用户可以利用嵌入特殊字符来突破脚本程序原先的限制。
因此,如果攻击者输入某些特定sql语句,可能造成数据库资料丢失/泄漏/甚至威胁整个站点的安全。比如攻击者可以任意创建或者删除表（如果可以猜测出已存在的表名），清除或者更改数据库数据。攻击者也可能通过执行一些储存过程函数,将sql语句的输出结果通过电子邮件发送给自己，或者执行系统命令。
1.1.3、PHP和Perl
虽然提供了加上”\”（取消特殊字符含义）处理的手段，但是处理一些数据库时依然可以被改写。（我们本地的测试证实了这情况。）请阅读下面关于数据库问题的分析。对于MySQL则没有问题，\'不会与前面的单引号封闭，而当作一个合法的字符处理。针对oracle和informix等数据库暂时未进行相关测试。
另外，对于PHP或者Perl语言，很多程序对于数字类型的输入变量，没有加单引号予以保护，攻击者就有可能在这种变量中加入额外的SQL语句，来攻击数据库或者获得非法控制权限。1.2、数据库问题
不同的数据库对安全机制的不同认识和实现方法，使它们的安全性也有所不同。最常见的问题是利用数据库对某些字符的不正确解释，改写被执行的SQL语句，从而非法获得访问权限。例如，Microsoft SQL Server和Sybase对 \'当作了两个不同字符，所以仅仅在程序中加上”\”仍然可能通过一些特殊手段改写 SQL语句突破数据库的安全防线。Microsoft SQL Server也将”—“作为注释符号，这个符号以后的SQL语句均被忽略，攻击者可能利用这个来屏蔽掉某些用来认证的SQL语句(例如口令验证)，获得对合法用户帐号的控制权。MySQL则将\'作为一个可操作的正常字符，不存在利用\'改写的可能。其它数据库如Oracle、Informix和MiniSQL等也必须注意防止各种改写SQL语句的可能。（注：另外，迄今为止，各种数据库都或多或少地被发现存在不同程度上的安全漏洞。如Microsoft SQL拒绝服务漏洞，MySQL GRANT权限可改变任意用户口令的漏洞，MySQL 远程绕过口令限制的漏洞，MiniSQL远程缓冲区溢出漏洞，Oracle Web Listener 非授权访问漏洞，Oracle dbsnmp符号连接漏洞，Sybase PowerDynamo目录遍历漏洞，等等。由于数据库数据资料是电子商务网站的最重要部份，关系到电子商务网站的生死存亡，因此修补各种安全漏洞，保证数据库免受各种攻击，是绝对必要的！）
2、 Cookie或用户身份的常用认证问题
对于一个网站会员而言，经常存在需要一次注册，多次认证的问题，一般采用手段为cookie或input type=hidden来传递认证参数。这里面有几点隐患：
I. 所携带内容必须完整包含帐号密码，或类似的完整安全信息，如果只携带帐号信息或用某种权限标志来认证，极容易造成非法入侵，我们检测了一些电子商务网站，很多都有此类安全隐患。例如某站点中的会员更新页面中携带的认证信息是两个，用户名和Uid(均为明文传送)已知Uid对于每个会员是唯一的。由于我们只需要知道对方的帐号和Uid就可以更改对方信息（不需要知道密码！），只要攻击者知道Uid（攻击者可以通过暴力猜测的方法来得到Uid，有时候站点本身也会泄露用户的Uid,例如在论坛等处）那么，攻击者就可以通过遍历攻击完成对任意一个帐号的信息更改。
II. 必须所有需要权限操作的页面都必须执行认证判断的操作。如果任何一页没有进行这种认证判断，都有可能给攻击者以恶意入侵的机会。
III. 很多网站为了方便，将用户名以及口令信息储存在Cookie中，有的甚至以明文方式保存口令。如果攻击者可以访问到用户的主机，就可能通过保存的Cookie文件得到用户名和口令。
3、 大量数据查询导致拒绝服务
许多网站对用户输入内容的判断在前台，用JavaScript判断，如果用户绕过前台判断，就能对数据库进行全查询，如果数据库比较庞大，会耗费大量系统资源，如果同时进行大量的这种查询操作，就会有Denial of Service（DoS —— 拒绝服务）同样的效果。
解决方法：
1、客户端数据完整性和有效性检查的解决办法
根据目前国内电子商务网站普遍存在的安全问题，主要的原因是未对某些特殊字符——例如单引号（’）进行过滤，或过滤机制不够完善。因此较为根本的解决方法是加强过滤机制，对用户输入数据进行全面的检查。以对ASP + Microsoft SQL Server类型的网站危害比较大的单引号（’）为例。目前可以肯定的是仅仅通过加上”\”或双引号处理是不健全的，必须杜绝单引号在处理程序的SQL语句中出现。I. 对于从客户端接收的数据变量应该用"’"(单引号)来引用；
II. 对用户输入的所有数据进行合法性检查（尽可能放在后台校验），包括数据长度和数据内容，将其中的特殊意义字符替换或不予往下执行。例如，将"’"替换成"’’" (两个单引号)号或用双字节中文单引号替换；而对于数字型变量，要检查输入的数据是否全为数字。
III. 对象数据库不使用系统默认的dbo用户。并尽量减少新增用户的权限；以ASP为例，具体的实现可以通过函数Replace函数来实现，如：<%
username=Replace(trim(Request.Form(“username”)),”’”,”’”)
password=Replace(trim(Request.Form(“password”)) ,”’”,”’”)
%>
以上例子将变量username与password中的字符”’”(单引号)替换成双字节中文单引号。如希望用户能使用单字节单引号”’”，可参考使用如下函数：
<%
function CheckStr(str)
dim tstr,l,i,ch
l=len(str)
for i=1 to l
ch=mid(str,i,1)
if ch="’" then
tstr=tstr+"’"
end if
tstr=tstr+ch
next
CheckStr=tstr
end function
%>该函数将需要校验的数据中的单字节单引号后添加了"’"，这样，送入SQL中的"’"就变成了"’’"，当输出该字段数据时，该项内容中的"’’"输出为"’"。对于其他的CGI编程语言，可以参照上述方法的思路进行处理。2、 Cookie或用户身份的常用认证问题的解决办法
由于session （会话）机制主要由服务器控制，比利用cookie传递认证参数更为安全可靠，因此可使用session会话取代cookie认证。如果必须使用Cookie传递参数，必须将参数内容进行加密，并正确设置Cookie的有效时间。3、 大量数据查询导致拒绝服务的解决办法
为了安全起见，应该将可能导致出现这种拒绝服务攻击的Javascript移植到由服务器端执行，防止客户端向服务器提交过量的数据库操作。4、 若对本次安全公告有不明之处，请与我们联系获得进一步的帮助。
鉴于此漏洞的严重性，我们将向国内站点提供解决这个安全问题的免费技术支持

8. 电子商务活动中可能存在哪些安全隐患

目前电子商务中主要存在的安全隐患有以下几个方面：
（1）对合专法用户的身份冒充。攻击属者通过非法手段盗用合法用户的身份信息，仿冒合法用户的身份与他人进行交易，从而获得非法利益。
（2）对信息的窃取。攻击者在网络的传输信道上，通过物理或逻辑的手段，对数据进行非法的截获与监听，从而得到通信中敏感的信息。
（3）对信息的篡改。攻击者有可能对网络上的信息进行截获后篡改其内容，如修改消息次序、时间，注入伪造消息等，从而使信息失去真实性和完整性。
（4）拒绝服务。攻击者使合法接入的信息、业务或其他资源受阻，例如使一个业务口被滥用而使其他用户不能正常工作。
（5）对发出的信息予以否认。某些用户可能对自己发出的信息进行恶意的否认，以推卸自己应承担的责任。
（6）非法入侵和病毒攻击。计算机网络会经常遭受非法的入侵攻击以及计算机病毒的破坏。

9. 电子商务中的不安全因素有哪些

电子商务安全要素涉及面广，在使用电子商务的过程中主要的安全要素有以下几点：

1. 真实性；

2. 保密性；

3. 完整性；

4. 不可否认性；

5. 可靠性；

6. 及时性；

7. 不可拒绝性等。