电子商务的隐患

1. 电子商务活动中可能存在哪些安全隐患

目前电子商务中主要存在的安全隐患有以下几个方面：
（1）对合专法用户的身份冒充。攻击属者通过非法手段盗用合法用户的身份信息，仿冒合法用户的身份与他人进行交易，从而获得非法利益。
（2）对信息的窃取。攻击者在网络的传输信道上，通过物理或逻辑的手段，对数据进行非法的截获与监听，从而得到通信中敏感的信息。
（3）对信息的篡改。攻击者有可能对网络上的信息进行截获后篡改其内容，如修改消息次序、时间，注入伪造消息等，从而使信息失去真实性和完整性。
（4）拒绝服务。攻击者使合法接入的信息、业务或其他资源受阻，例如使一个业务口被滥用而使其他用户不能正常工作。
（5）对发出的信息予以否认。某些用户可能对自己发出的信息进行恶意的否认，以推卸自己应承担的责任。
（6）非法入侵和病毒攻击。计算机网络会经常遭受非法的入侵攻击以及计算机病毒的破坏。

2. 常见电子商务的安全隐患有哪些

身份认证：由于非法用户可以伪造、假冒电子商务网站和用户的身份，因此登录到电子商务应用系统的客户无法知道他们所登录的网站是否是可信的电子商务网站，电子商务网站也无法验证登录到网站上的客户是否是经过认证的合法用户，非法用户可以借机进行破坏。"用户名＋口令"的传统认证方式安全性较弱，用户口令易被窃取而导致损失。

信息的完整性：敏感信息和交易数据在传输过程中有可能被恶意篡改。

信息的不可抵赖性：网上交易行为一旦被进行交易的一方所否认，另一方没有已签名的记录来作为仲裁的依据。针对这些安全隐患，很多科技公司提出了一套实用的、易于实施的电子商务安全认证解决方案，通过为交易的各方发放数字证书来对交易的各方进行身份标识，并且在交易的过程中通过使用数字证书对交易的双方进行身份验证和签名验证，最终满足电子商务的安全需求，有效地防止各种电子商务安全隐患。

3. 电子商务系统存在的安全隐患有哪些

当前,电子商务存在的安全隐患形式多样,概而言之,主要表现为“外在因素”和“内在因素”两个方面。
1. 安全隐患存在的外在因素。外在因素主要表现为电子商务存在的非技术性环境,涉及的是社会文
化、制度规范等方面的外在因素。电子商务近几年迅猛发展,但许多地方都缺乏足够的技术人才来处理
所遇到的各种问题,不少电子商务的开发商对网络技术很熟悉,但是对安全技术了解甚少,因而难以开发
出真正实用的、安全的产品。在当前国际互联网的制度框架内,对安全协议还没有全球的标准和规范,制
约了国际性商务活动。在电子商务的虚拟社区里,电子交易衍生了一系列法律问题,例如网络交易纠纷
的仲裁,网络交易契约等问题,急需为电子商务提供法律保障。同时,在税收问题上,电子商务的发展在
促进贸易增加税务的同时又对税收制度及其管理手段提出了新要求。这些外在因素的不成熟,都成为电
子商务发展的障碍。
2. 安全隐患存在的内在因素。内在因素主要涉及的是电子商务的科学技术层面,是电子技术的问
题。网络犯罪分子可以利用电子商务存在的技术漏洞,通过非法手段盗用合法用户的身份信息,仿冒合
法用户的身份与他人进行交易,从而获得非法利益。或者通过物理或逻辑的手段,在网络传输信号的过
程中,对数据进行非法的截获与监听,从而得到通信中敏感的信息,并对截获后的信息进行篡改,如修改
消息次序、时间、注入伪造消息等,从而使信息失去真实性和完整性,使合法接入的信息、业务或其他资源
受阻,例如使一个业务口被滥用而使其他用户不能正常工作。从地理空间而言,电子政务地理空间信息
的需求更高。[3 ] 另外,计算机网络会经常遭受非法的入侵攻击以及计算机病毒的破坏。
概而言之,电子商务的安全,也就是电子系统的安全,而电子商务系统的关键是保证交易数据和交易
过程的安全。

4. 电子商务中的不安全因素有哪些

电子商务安全要素涉及面广，在使用电子商务的过程中主要的安全要素有以下几点：

1. 真实性；

2. 保密性；

3. 完整性；

4. 不可否认性；

5. 可靠性；

6. 及时性；

7. 不可拒绝性等。

5. 电子商务存在哪些安全问题

计算机网络安全威胁
商务交易安全威胁
计算机网络安全威胁与商务交易安全威胁给电子商务带来的安全问题
信息破坏
破坏信息的有效性
泄露个人隐私

6. 电子商务安全隐患有哪些

恩，都对吧，应该就是这些了。以下是对目前国内电子商务站点普遍存在的几个严重的安全问题的一些分析。
1、 客户端数据的完整性和有效性检查
1.1、特殊字符的过滤
在 W3C 的 WWW Security FAQ 中关于CGI安全编程一节里列出了建议过滤的字符： &;`'\"|*?~<>^()[]{}$\n\r
这些字符由于在不同的系统或运行环境中会具有特殊意义，如变量定义/赋值/取值、非显示字符、运行外部程序等，而被列为危险字符。W3C组织强烈建议完全过滤这些特殊字符。但在许多编程语言、开发软件工具、数据库甚至操作系统中遗漏其中某些特殊字符的情况时常出现，从而导致出现带有普遍性的安全问题。1.1.1、CGI和Script编程语言的问题
在几种国内常见的WEB编程语言中，ASP和Cold Fusion 脚本语言对特殊字符的过滤机制不够完善，例如没有对单引号做任何处理等。Perl和php对特殊字符的过滤则较为严密，如忽略或加上“\”（取消特殊字符含义）处理。C语言编写的cgi程序对特殊字符的过滤完全依赖于程序员的知识和技术，因此也可能存在安全问题。
1.1.2、Microsoft ASP脚本
普遍存在的问题是程序员在编写ASP脚本时,缺少或没有对客户端输入的数据/变量进行严格的合法性分析。无意或有意输入的特殊字符可能由于其特殊含义改变了脚本程序，从而使脚本运行出错或执行非法操作。例如，当脚本程序需要进行数据库操作时，恶意用户可以利用嵌入特殊字符来突破脚本程序原先的限制。
因此,如果攻击者输入某些特定sql语句,可能造成数据库资料丢失/泄漏/甚至威胁整个站点的安全。比如攻击者可以任意创建或者删除表（如果可以猜测出已存在的表名），清除或者更改数据库数据。攻击者也可能通过执行一些储存过程函数,将sql语句的输出结果通过电子邮件发送给自己，或者执行系统命令。
1.1.3、PHP和Perl
虽然提供了加上”\”（取消特殊字符含义）处理的手段，但是处理一些数据库时依然可以被改写。（我们本地的测试证实了这情况。）请阅读下面关于数据库问题的分析。对于MySQL则没有问题，\'不会与前面的单引号封闭，而当作一个合法的字符处理。针对oracle和informix等数据库暂时未进行相关测试。
另外，对于PHP或者Perl语言，很多程序对于数字类型的输入变量，没有加单引号予以保护，攻击者就有可能在这种变量中加入额外的SQL语句，来攻击数据库或者获得非法控制权限。1.2、数据库问题
不同的数据库对安全机制的不同认识和实现方法，使它们的安全性也有所不同。最常见的问题是利用数据库对某些字符的不正确解释，改写被执行的SQL语句，从而非法获得访问权限。例如，Microsoft SQL Server和Sybase对 \'当作了两个不同字符，所以仅仅在程序中加上”\”仍然可能通过一些特殊手段改写 SQL语句突破数据库的安全防线。Microsoft SQL Server也将”—“作为注释符号，这个符号以后的SQL语句均被忽略，攻击者可能利用这个来屏蔽掉某些用来认证的SQL语句(例如口令验证)，获得对合法用户帐号的控制权。MySQL则将\'作为一个可操作的正常字符，不存在利用\'改写的可能。其它数据库如Oracle、Informix和MiniSQL等也必须注意防止各种改写SQL语句的可能。（注：另外，迄今为止，各种数据库都或多或少地被发现存在不同程度上的安全漏洞。如Microsoft SQL拒绝服务漏洞，MySQL GRANT权限可改变任意用户口令的漏洞，MySQL 远程绕过口令限制的漏洞，MiniSQL远程缓冲区溢出漏洞，Oracle Web Listener 非授权访问漏洞，Oracle dbsnmp符号连接漏洞，Sybase PowerDynamo目录遍历漏洞，等等。由于数据库数据资料是电子商务网站的最重要部份，关系到电子商务网站的生死存亡，因此修补各种安全漏洞，保证数据库免受各种攻击，是绝对必要的！）
2、 Cookie或用户身份的常用认证问题
对于一个网站会员而言，经常存在需要一次注册，多次认证的问题，一般采用手段为cookie或input type=hidden来传递认证参数。这里面有几点隐患：
I. 所携带内容必须完整包含帐号密码，或类似的完整安全信息，如果只携带帐号信息或用某种权限标志来认证，极容易造成非法入侵，我们检测了一些电子商务网站，很多都有此类安全隐患。例如某站点中的会员更新页面中携带的认证信息是两个，用户名和Uid(均为明文传送)已知Uid对于每个会员是唯一的。由于我们只需要知道对方的帐号和Uid就可以更改对方信息（不需要知道密码！），只要攻击者知道Uid（攻击者可以通过暴力猜测的方法来得到Uid，有时候站点本身也会泄露用户的Uid,例如在论坛等处）那么，攻击者就可以通过遍历攻击完成对任意一个帐号的信息更改。
II. 必须所有需要权限操作的页面都必须执行认证判断的操作。如果任何一页没有进行这种认证判断，都有可能给攻击者以恶意入侵的机会。
III. 很多网站为了方便，将用户名以及口令信息储存在Cookie中，有的甚至以明文方式保存口令。如果攻击者可以访问到用户的主机，就可能通过保存的Cookie文件得到用户名和口令。
3、 大量数据查询导致拒绝服务
许多网站对用户输入内容的判断在前台，用JavaScript判断，如果用户绕过前台判断，就能对数据库进行全查询，如果数据库比较庞大，会耗费大量系统资源，如果同时进行大量的这种查询操作，就会有Denial of Service（DoS —— 拒绝服务）同样的效果。
解决方法：
1、客户端数据完整性和有效性检查的解决办法
根据目前国内电子商务网站普遍存在的安全问题，主要的原因是未对某些特殊字符——例如单引号（’）进行过滤，或过滤机制不够完善。因此较为根本的解决方法是加强过滤机制，对用户输入数据进行全面的检查。以对ASP + Microsoft SQL Server类型的网站危害比较大的单引号（’）为例。目前可以肯定的是仅仅通过加上”\”或双引号处理是不健全的，必须杜绝单引号在处理程序的SQL语句中出现。I. 对于从客户端接收的数据变量应该用"’"(单引号)来引用；
II. 对用户输入的所有数据进行合法性检查（尽可能放在后台校验），包括数据长度和数据内容，将其中的特殊意义字符替换或不予往下执行。例如，将"’"替换成"’’" (两个单引号)号或用双字节中文单引号替换；而对于数字型变量，要检查输入的数据是否全为数字。
III. 对象数据库不使用系统默认的dbo用户。并尽量减少新增用户的权限；以ASP为例，具体的实现可以通过函数Replace函数来实现，如：<%
username=Replace(trim(Request.Form(“username”)),”’”,”’”)
password=Replace(trim(Request.Form(“password”)) ,”’”,”’”)
%>
以上例子将变量username与password中的字符”’”(单引号)替换成双字节中文单引号。如希望用户能使用单字节单引号”’”，可参考使用如下函数：
<%
function CheckStr(str)
dim tstr,l,i,ch
l=len(str)
for i=1 to l
ch=mid(str,i,1)
if ch="’" then
tstr=tstr+"’"
end if
tstr=tstr+ch
next
CheckStr=tstr
end function
%>该函数将需要校验的数据中的单字节单引号后添加了"’"，这样，送入SQL中的"’"就变成了"’’"，当输出该字段数据时，该项内容中的"’’"输出为"’"。对于其他的CGI编程语言，可以参照上述方法的思路进行处理。2、 Cookie或用户身份的常用认证问题的解决办法
由于session （会话）机制主要由服务器控制，比利用cookie传递认证参数更为安全可靠，因此可使用session会话取代cookie认证。如果必须使用Cookie传递参数，必须将参数内容进行加密，并正确设置Cookie的有效时间。3、 大量数据查询导致拒绝服务的解决办法
为了安全起见，应该将可能导致出现这种拒绝服务攻击的Javascript移植到由服务器端执行，防止客户端向服务器提交过量的数据库操作。4、 若对本次安全公告有不明之处，请与我们联系获得进一步的帮助。
鉴于此漏洞的严重性，我们将向国内站点提供解决这个安全问题的免费技术支持

7. 电子商务所面临的安全问题有哪些

电子商务的安全问题主要有以下几点：
1.交易信息内容被篡改

从贸易活动角度上看，交易信息是商务活动中进行贸易活动所形成的一种信息，包括了客户订单信息、订单确认信息、客户个人信息等。这些信息具有一定机密性，在信息传递过程中利用Internet或电话网对这些交易信息进行篡改或截获与恶意破坏。

2.电子支付信息盗取

电子支付信息是在商务活动中进行一种支付方式。支付信息包括客户银行账户、密码、个人银行识别码等信息。这些信息具有绝对机密性，防止非法者盗用信息，伪造假身份进入系统，利用这些信息进行非法活动，是电子商务活动中必须要解决的问题。

3.系统漏洞

非法者借助电子商务系统存在的漏洞进行进入系统，对系统中的数据进行篡改，取消用户订单信息，生成虚假信息等方式。

二、引起电子商务信息不安全的主要因素

电子商务是建立在互联网应用平台上一种商务活动，它在为电子商务提供网络技术保证的同时，也是引起电子商务信息不安全的主要因素，产生这些不安全的主要因素包括：

1.互联网的开发性和共享性

由于电子商务是建立互联网技术平台上的一种商务活动，它继承了互联网的开放性和共享性，打破地域之间的界限，让用户能够在不同地域自由地进行沟通与交流，形成一个全球化的完整整体。与此同时，这也是为泄漏信息，非法散布信息提供一个平台。如客户信息家庭地址、客户联系电话、客户银行账号、客户密码等重要信息的泄漏。

2.互联网上的Cookie技术的应用

很多网站为了便于用户在登录或浏览时能够快速对网站进行浏览，都需要新用户在第一次登录时进行注册，用户信息都被自动记录到该网站上，再进行登录时网站会自动识别这些信息。如电子邮箱、网站会员等。形成这种方式就是利用互联网上的Cookie技术。Cookie技术能够收集用户的信息，当非法人获得了这些信息，就很容易将这些信息进行泄漏或转为其他使用，给用户个人信息的不安全带来隐患。

3.电子商务产品的不过硬

目前，有一些小型的电子商务网站在追求利益同时忽略电子商务安全产品的质量，有些产品在安全措施是采用“移植”其他安全技术，也有些厂商对电子商务安全技术欠缺足够了解，使得产品安全技术不过硬，引起在电子商务活动的过程中造成了信息不安全。

4.电子商务管理体制不健全

目前虽然我国政府已将电子商务的管理提上日程，在一定程度上建立并制定了有关的电子商务立法和政策，为我国电子商务发展提供了基本的法律保障，但仍在某些地方还不成熟，还需要进一步的完善。如如何引入电子签名、电子签章、数字签名等管理方式保障信息的安全，如何明确在交易过程中双方的责任，如何在交易过程中保障信息的不泄露等方面。

信息摘自《长风网》网络“电子商务安全”，里面好像也有具体的应对对策，希望可以帮到你哦~~

8. 简述电子商务的安全隐患与解决措施

1、数据传输安全隐患。

电子商务是在开放的互联网上进行的贸易，大量的商务信息在计算机和网络上上存放、传输，从而形成信息传输风险。因此措施可以通过采用数据加密（包括秘密密钥加密和公开密钥加密）来实现的，数字信封技术是结合密钥加密和公开密钥加密技术实现的。

2、数据完整性的安全隐患。

数据的完整性安全隐患是指数据在传输过程中被篡改。因此确保数据不被篡改的措施可以通过采用安全的散列函数和数字签名技术来实现的。双重数字签名可以用于保证多方通信时数据的完整性。

3、身份验证的安全隐患。

网上通信双方互不见面，在交易或交换敏感信息时确认对方等真实身份以及确认对方的账户信息的真实与否，为身份验证的安全隐患。解决措施可以通过采用口令技术、公开密钥技术或数字签名技术和数字证书技术来实现的。

4、交易抵赖的安全隐患。

网上交易的各方在进行数据传输时，当发生交易后交易双方不认可为本人真实意愿的表达而产生的抵赖安全隐患。措施为交易时必须有自身特有的、无法被别人复制的信息，以保证交易发生纠纷时有所对证，可以通过数字签名技术和数字证书技术来实现的。

(8)电子商务的隐患扩展阅读：

电子商务分类：

1、企业对企业的电子商务（B2B）；

2、企业对消费者的电子商务（B2C）；

3、企业对政府的电子商务（B2G）；

4、消费者对政府的电子商务（C2G）；

5、消费者对消费者的电子商务（C2C）；

6、企业、消费者、代理商三者相互转化的电子商务（ABC）；

7、以消费者为中心的全新商业模式（C2B2S）；

8、以供需方为目标的新型电子商务（P2D）。

9. 电子商务的利与弊

优点

1、电子商务使企业能够以类似的成本进入全球电子市场，使中小企业能够拥有与大企业相同的信息资源，从而提高中小企业的竞争力。

2、电子商务重新定义了传统的流通模式，减少了中间环节，使生产者和消费者直接交易成为可能，从而在一定程度上改变了整个社会和经济的运行方式。

3、电子商务一方面打破了时间和空间的壁垒，另一方面，它为各种社会经济因素的重组提供了丰富的信息资源和更多的可能性，这将影响社会的经济布局和结构。

缺点

1、互联网有其自身的局限性

这是怎么回事事实上，在将三维物体还原成许多平面图像的过程中，商品本身的一些基本信息将会丢失；对计算机的输入只是人工选择的商品信息的一部分，人们无法从互联网上获得商品的所有信息，尤其是商品最生动的视觉印象。

2、搜索功能并不完美

在网上购物时，用户面临的一个大问题是如何在众多网站上找到自己想要的东西并以最低价格购买。搜索引擎看起来很简单:当用户输入查询关键词时，搜索引擎根据关键词搜索数据库，并返回最合适的网页链接。

其中一半仍然无法索引。这主要不是因为技术原因，而是因为网上商家想要保护商品价格的隐私因此，当用户向上购物时，他们必须从一个网站搜索到另一个网站，直到找到价格令人满意的商品。

3、用户的消费观念跟不上

电子商务和传统商业方式。一个很大的区别是交易双方不见面，交易是虚拟的。这就要求全社会的信用环境更好，信用消费的理念应该深入人心。

西方国家电子商务的发展势头相对良好，重要原因之一是西方市场秩序相对良好，信用体系相对健全，信用消费的概念已经被人们普遍接受。

(9)电子商务的隐患扩展阅读：

电子商务的形成与交易离不开以下四方面的关系：

一、交易平台

第三方电子商务平台（以下简称第三方交易平台）是指在电子商务活动中为交易双方或多方提供交易撮合及相关服务的信息网络系统总和；

二、平台经营者

第三方交易平台经营者（以下简称平台经营者）是指在工商行政管理部门登记注册并领取营业执照，从事第三方交易平台运营并为交易双方提供服务的自然人、法人和其他组织；

三、站内经营者

第三方交易平台站内经营者（以下简称站内经营者）是指在电子商务交易平台上从事交易及有关服务活动的自然人、法人和其他组织。

四、支付系统

支付系统（Payment System）是由提供支付清算服务的中介机构和实现支付指令传送及资金清算的专业技术手段共同组成，用以实现债权债务清偿及资金转移的一种金融安排，有时也称为清算系统（Clear System）。

电子商务，有门户网站经营比较完善信息流、资金流、物流等。

10. 电子商务中存在的安全隐患有哪些

1.电子商务面临的网络系统安全问题

电子商务系统是依赖网络实现的商务系统，需要利用Internet基础设施和标准，所以构成电子商务安全框架的底层是网络服务层，它提供信息传送的载体和用户接入的手段，是各种电子商务应用系统的基础，为电子商务系统提供了基本、灵活的网络服务。

电子商务网络系统安全问题包括以下几个方面:

(1)网络部件的不安全因素。

(2)软件不安全因素。

(3)工作人员的不安全因素。

(4)自然环境因素。

2.电子商务面临的电子支付系统安全问题

众所周知，基于Internet平台的电子商务支付系统由于涉及到客户、商家、银行及认证部门等多方机构，以及它们之间可能的资金划拨，所以客户和商家在进行网上交易时必须充分考虑其系统的安全。

目前网上支付中面临的主要安全问题有以下几方面:

(1)支付账号和密码等隐私支付信息在网络传送过程中被窃取或盗用。

(2)支付金额被更改。

(3)不能有效验证收款人的身份。

3.电子商务面临的认证系统安全问题

1.信息泄漏

在电子商务中表现为商业机密的泄漏,主要包括两个方面:交易双方进行交易的内容被第

三方窃取；交易一方提供给另一方使用的文件被第三方非法使用。如信用卡的账号和用户名被人获悉，就可能被盗用。

2.篡改

在电子商务中表现为商业信息的真实性和完整性的问题。电子的交易信息在网络上传输的过程中，可能被他人非法修改、删除或重改,这样就使信息失去了真实性和完整性。假如两公司签订了一份由一公司向另一公司供应原料的合同，若赶上原料价格上涨，供货方公司篡改价格将使自己大幅受益，而采购公司将蒙受损失。

3.身份识别

在网络交易中如果不进行身份识别,第三方就有可能假冒交易一方的身份,以破坏交易、破坏被假冒一方的信誉或盗取被假冒一方的交易成果等,进行身份识别后,交易双方就可防止相互猜疑的情况。

4.蓄意否认事实

由于商情的千变万化，商务合同一旦签订就不能被否认，否则必然会损害一方的利益。因此，电子商务就提出了相应的安全控制要求。

(1)电子商务中面临的法律安全问题。随着国际信息化、网络化进化的不断发展，在电子商务领域利用计算机网络进行犯罪的案件与日俱增，其犯罪的花样和手段不断翻新。

(2)电子合同中的法律问题。电子商务合同的订立是在不同地点的计算机系统之间完成的。许多国家的法律要求必须有书面形式的交易单证作为证明交易有效和作为交易的证据；否则，这种合同属于无效合同。关于电子合同能否视为书面合同，并取得与书面文件同等的效力，是各国法律尚未解决的问题，与传统书面文件相比，电子文件有一定的不稳定性，一些来自外界的对计算机网络的干扰，都可能造成信息的丢失、损坏、更改。

(3)银行电子化服务的法律问题。银行是电子支付和结算的最终执行者，起着联结买卖双方的纽带作用，但对一些从事电子货币业务的银行来说，犯罪分子伪造电子货币，给银行带来了直接经济损失。

(4)电子资金转账的法律问题。电子资金转账的法律是个特殊问题，但是我国现行的《票据法》并不承认经过数字签名认证的非纸质的电子票据支付和结算方式。并且支付不可撤消，付款人或第三人不能要求撤消已经完成的电子资金转账。

(5)电子商务中的知识产权保护问题。电子商务活动中交易的客体及交易的行为经常涉及传统的知识产权领域。

(6)电子商务中的消费者权益保护问题。电子商务等新的交易方式给消费者权益保护带来各种新的维权问题。随着科技进步，新产品的大量出现，消费知识滞后的矛盾也更加突出。