电子商务草案漏洞

1. 电子商务安全隐患有哪些

恩，都对吧，应该就是这些了。以下是对目前国内电子商务站点普遍存在的几个严重的安全问题的一些分析。
1、 客户端数据的完整性和有效性检查
1.1、特殊字符的过滤
在 W3C 的 WWW Security FAQ 中关于CGI安全编程一节里列出了建议过滤的字符： &;`'\"|*?~<>^()[]{}$\n\r
这些字符由于在不同的系统或运行环境中会具有特殊意义，如变量定义/赋值/取值、非显示字符、运行外部程序等，而被列为危险字符。W3C组织强烈建议完全过滤这些特殊字符。但在许多编程语言、开发软件工具、数据库甚至操作系统中遗漏其中某些特殊字符的情况时常出现，从而导致出现带有普遍性的安全问题。1.1.1、CGI和Script编程语言的问题
在几种国内常见的WEB编程语言中，ASP和Cold Fusion 脚本语言对特殊字符的过滤机制不够完善，例如没有对单引号做任何处理等。Perl和php对特殊字符的过滤则较为严密，如忽略或加上“\”（取消特殊字符含义）处理。C语言编写的cgi程序对特殊字符的过滤完全依赖于程序员的知识和技术，因此也可能存在安全问题。
1.1.2、Microsoft ASP脚本
普遍存在的问题是程序员在编写ASP脚本时,缺少或没有对客户端输入的数据/变量进行严格的合法性分析。无意或有意输入的特殊字符可能由于其特殊含义改变了脚本程序，从而使脚本运行出错或执行非法操作。例如，当脚本程序需要进行数据库操作时，恶意用户可以利用嵌入特殊字符来突破脚本程序原先的限制。
因此,如果攻击者输入某些特定sql语句,可能造成数据库资料丢失/泄漏/甚至威胁整个站点的安全。比如攻击者可以任意创建或者删除表（如果可以猜测出已存在的表名），清除或者更改数据库数据。攻击者也可能通过执行一些储存过程函数,将sql语句的输出结果通过电子邮件发送给自己，或者执行系统命令。
1.1.3、PHP和Perl
虽然提供了加上”\”（取消特殊字符含义）处理的手段，但是处理一些数据库时依然可以被改写。（我们本地的测试证实了这情况。）请阅读下面关于数据库问题的分析。对于MySQL则没有问题，\'不会与前面的单引号封闭，而当作一个合法的字符处理。针对oracle和informix等数据库暂时未进行相关测试。
另外，对于PHP或者Perl语言，很多程序对于数字类型的输入变量，没有加单引号予以保护，攻击者就有可能在这种变量中加入额外的SQL语句，来攻击数据库或者获得非法控制权限。1.2、数据库问题
不同的数据库对安全机制的不同认识和实现方法，使它们的安全性也有所不同。最常见的问题是利用数据库对某些字符的不正确解释，改写被执行的SQL语句，从而非法获得访问权限。例如，Microsoft SQL Server和Sybase对 \'当作了两个不同字符，所以仅仅在程序中加上”\”仍然可能通过一些特殊手段改写 SQL语句突破数据库的安全防线。Microsoft SQL Server也将”—“作为注释符号，这个符号以后的SQL语句均被忽略，攻击者可能利用这个来屏蔽掉某些用来认证的SQL语句(例如口令验证)，获得对合法用户帐号的控制权。MySQL则将\'作为一个可操作的正常字符，不存在利用\'改写的可能。其它数据库如Oracle、Informix和MiniSQL等也必须注意防止各种改写SQL语句的可能。（注：另外，迄今为止，各种数据库都或多或少地被发现存在不同程度上的安全漏洞。如Microsoft SQL拒绝服务漏洞，MySQL GRANT权限可改变任意用户口令的漏洞，MySQL 远程绕过口令限制的漏洞，MiniSQL远程缓冲区溢出漏洞，Oracle Web Listener 非授权访问漏洞，Oracle dbsnmp符号连接漏洞，Sybase PowerDynamo目录遍历漏洞，等等。由于数据库数据资料是电子商务网站的最重要部份，关系到电子商务网站的生死存亡，因此修补各种安全漏洞，保证数据库免受各种攻击，是绝对必要的！）
2、 Cookie或用户身份的常用认证问题
对于一个网站会员而言，经常存在需要一次注册，多次认证的问题，一般采用手段为cookie或input type=hidden来传递认证参数。这里面有几点隐患：
I. 所携带内容必须完整包含帐号密码，或类似的完整安全信息，如果只携带帐号信息或用某种权限标志来认证，极容易造成非法入侵，我们检测了一些电子商务网站，很多都有此类安全隐患。例如某站点中的会员更新页面中携带的认证信息是两个，用户名和Uid(均为明文传送)已知Uid对于每个会员是唯一的。由于我们只需要知道对方的帐号和Uid就可以更改对方信息（不需要知道密码！），只要攻击者知道Uid（攻击者可以通过暴力猜测的方法来得到Uid，有时候站点本身也会泄露用户的Uid,例如在论坛等处）那么，攻击者就可以通过遍历攻击完成对任意一个帐号的信息更改。
II. 必须所有需要权限操作的页面都必须执行认证判断的操作。如果任何一页没有进行这种认证判断，都有可能给攻击者以恶意入侵的机会。
III. 很多网站为了方便，将用户名以及口令信息储存在Cookie中，有的甚至以明文方式保存口令。如果攻击者可以访问到用户的主机，就可能通过保存的Cookie文件得到用户名和口令。
3、 大量数据查询导致拒绝服务
许多网站对用户输入内容的判断在前台，用JavaScript判断，如果用户绕过前台判断，就能对数据库进行全查询，如果数据库比较庞大，会耗费大量系统资源，如果同时进行大量的这种查询操作，就会有Denial of Service（DoS —— 拒绝服务）同样的效果。
解决方法：
1、客户端数据完整性和有效性检查的解决办法
根据目前国内电子商务网站普遍存在的安全问题，主要的原因是未对某些特殊字符——例如单引号（’）进行过滤，或过滤机制不够完善。因此较为根本的解决方法是加强过滤机制，对用户输入数据进行全面的检查。以对ASP + Microsoft SQL Server类型的网站危害比较大的单引号（’）为例。目前可以肯定的是仅仅通过加上”\”或双引号处理是不健全的，必须杜绝单引号在处理程序的SQL语句中出现。I. 对于从客户端接收的数据变量应该用"’"(单引号)来引用；
II. 对用户输入的所有数据进行合法性检查（尽可能放在后台校验），包括数据长度和数据内容，将其中的特殊意义字符替换或不予往下执行。例如，将"’"替换成"’’" (两个单引号)号或用双字节中文单引号替换；而对于数字型变量，要检查输入的数据是否全为数字。
III. 对象数据库不使用系统默认的dbo用户。并尽量减少新增用户的权限；以ASP为例，具体的实现可以通过函数Replace函数来实现，如：<%
username=Replace(trim(Request.Form(“username”)),”’”,”’”)
password=Replace(trim(Request.Form(“password”)) ,”’”,”’”)
%>
以上例子将变量username与password中的字符”’”(单引号)替换成双字节中文单引号。如希望用户能使用单字节单引号”’”，可参考使用如下函数：
<%
function CheckStr(str)
dim tstr,l,i,ch
l=len(str)
for i=1 to l
ch=mid(str,i,1)
if ch="’" then
tstr=tstr+"’"
end if
tstr=tstr+ch
next
CheckStr=tstr
end function
%>该函数将需要校验的数据中的单字节单引号后添加了"’"，这样，送入SQL中的"’"就变成了"’’"，当输出该字段数据时，该项内容中的"’’"输出为"’"。对于其他的CGI编程语言，可以参照上述方法的思路进行处理。2、 Cookie或用户身份的常用认证问题的解决办法
由于session （会话）机制主要由服务器控制，比利用cookie传递认证参数更为安全可靠，因此可使用session会话取代cookie认证。如果必须使用Cookie传递参数，必须将参数内容进行加密，并正确设置Cookie的有效时间。3、 大量数据查询导致拒绝服务的解决办法
为了安全起见，应该将可能导致出现这种拒绝服务攻击的Javascript移植到由服务器端执行，防止客户端向服务器提交过量的数据库操作。4、 若对本次安全公告有不明之处，请与我们联系获得进一步的帮助。
鉴于此漏洞的严重性，我们将向国内站点提供解决这个安全问题的免费技术支持

2. 在电商网站开发中有哪些常见漏洞

一、常见PHP网站安全漏洞

对于PHP的漏洞，目前常见的漏洞有五种。分别是Session文件漏洞、SQL注入漏洞、脚本命令执行漏洞、全局变量漏洞和文件漏洞。这里分别对这些漏洞进行简要的介绍。

1、session文件漏洞

Session攻击是黑客最常用到的攻击手段之一。当一个用户访问某一个网站时，为了免客户每进人一个页面都要输人账号和密码，PHP设置了Session和Cookie用于方便用户的使用和访向。

2、SQL注入漏洞

在进行网站开发的时候，程序员由于对用户输人数据缺乏全面判断或者过滤不严导致服务器执行一些恶意信息，比如用户信息查询等。黑客可以根据恶意程序返回的结果获取相应的信息。这就是月行胃的SQL注入漏洞。

3、脚本执行漏洞

脚本执行漏洞常见的原因是由于程序员在开发网站时对用户提交的URL参数过滤较少引起的，用户提交的URL可能包含恶意代码导致跨站脚本攻击。脚本执行漏洞在以前的PHP网站中经常存在，但是随着PHP版本的升级，这些间题已经减少或者不存在了。

4、全局变量漏洞

PHP中的变量在使用的时候不像其他开发语言那样需要事先声明，PHP中的变量可以不经声明就直接使用，使用的时候系统自动创建，而且也不需要对变 量类型进行说明，系统会自动根据上下文环境自动确定变量类型。这种方式可以大大减少程序员编程中出错的概率，使用起来非常的方便。

5、文件漏洞

文件漏洞通常是由于网站开发者在进行网站设计时对外部提供的数据缺乏充分的过滤导致黑客利用其中的漏洞在Web进程上执行相应的命令。

二、PHP常见漏洞的防范措施

1、对于Session漏洞的防范

从前面的分析可以知道，Session攻击最常见的就是会话劫持，也就是黑客通过各种攻击手段获取用户的Session ID，然后利用被攻击用户的身份来登录相应网站。为此，这里可以用以下几种方法进行防范:一是定期更换Session ID，更换Session ID可以用PHP自带函数来实现；二是更换Session名称，通常情况下Session的默认名称是PHPSESSID，这个变量一般是在cookie中保存的，如果更改了它的名称，就可以阻档黑客的部分攻击;三是对透明化的Session ID进行关闭处理，所谓透明化也就是指在http请求没有使用cookies来制定Session id时，Sessioin id使用链接来传递.关闭透明化Session ID可以通过操作PHP.ini文件来实现；四是通过URL传递隐藏参数，这样可以确保即使黑客获取了session数据，但是由于相关参数是隐藏的，它也很难获得Session ID变量值。

2、对SQL注入漏洞的防范

黑客进行SQL注入手段很多，而且灵活多变，但是SQL注人的共同点就是利用输入过滤漏洞。因此，要想从根本上防止SQL注入，根本解决措施就是加强对请求命令尤其是查询请求命令的过滤。具体来说，包括以下几点:一是把过滤性语句进行参数化处理，也就是通过参数化语句实现用户信息的输入而不是直接把用户输入嵌入到语句中。二是在网站开发的时候尽可能少用解释性程序，黑客经常通过这种手段来执行非法命令；三是在网站开发时尽可能避免网站出现bug，否则黑客可能利用这些信息来攻击网站；仅仅通过防御SQL注入还是不够的，另外还要经常使用专业的漏洞扫描工具对网站进行漏洞扫描。

3、对脚本执行漏洞的防范

黑客利用脚本执行漏洞进行攻击的手段是多种多样的，而且是灵活多变的，对此，必须要采用多种防范方法综合的手段，才能有效防止黑客对脚本执行漏洞进行攻击。这里常用的方法方法有以下四种。一是对可执行文件的路径进行预先设定。

4、对全局变量漏洞防范

对于PHP全局变量的漏洞问题，以前的PHP版本存在这样的问题，但是随着PHP版本升级到5.5以后，可以通过对php.ini的设置来实现，设置ruquest_order为GPC。另外在php.ini配置文件中，可以通过对Magic_quotes_runtime进行布尔值设置是否对外部引人的数据中的溢出字符加反斜线。为了确保网站程序在服务器的任何设置状态下都能运行。

5、对文件漏洞的防范

对于PHP文件漏桐可以通过对服务器进行设置和配置来达到防范目的。这里具体的操作如下:一是把PHP代码中的错误提示关闭，这样可以避免黑客通过错误提示获取数据库信息和网页文件物理路径;二是对open_basedir尽心设置，也就是对目录外的文件操作进行禁止处理;这样可以对本地文件或者远程文件起到保护作用，防止它们被攻击，这里还要注意防范Session文件和上载文件的攻击;三是把safe-made设置为开启状态，从而对将要执行的命令进行规范，通过禁止文件上传，可以有效的提高PHP网站的安全系数。

3. 电子商务的税务问题

目前，我国电子商务已获得了充足的发展，而针对电子商务的税收管理却显得较为滞后。由于经营主体和方式的不同，电商中B2B和部分B2C均严格按照我国现行税法申报纳税，较少出现漏征漏管户。目前，我们讨论的电商征税问题主要存在于C2C形式或者以C2C的形式从事B2C交易的电商企业中。

1.未明确界定纳税义务人。纳税义务人的确定通过居民税收管辖权和收入来源地税收管辖权来判定。例如，通过住所来确认居民，对居民行使税收管辖权，通过营业地确定企业，对企业行使税收管辖权。在传统的贸易模式下，纳税义务人身份很容易被界定;在电子商务模式下，部分既有实体店又在网上从事交易的商家其纳税义务人也很明确即为实体店铺。然而对于由境外向境内提供服务、境内向境外提供出口的这类电子商务企业，由于交易双方隐匿了身份、地址和交易行为，在互联网上只有服务器、网站和网上账号，整个交易过程完全是在网上完成，买卖双方难以明确，甚至无法确认这项贸易究竟发生在国内还是国外。另外，对在国外设立、租用的服务器是否视同国际税法中的常设机构仍存异议，有关厂商是否因此而成为该国纳税人也难以确定。

2. 未明确界定征税对象。征税对象指对什么征税，是区别一种税与另一种税的重要标志。根据交易对象和内容的不同将其分为有形商品、无形劳务和特许权三类，分别采用不同的课税标准。电子商务由于其数字化、信息化的特征，将一部分以有形形式提供的商品转为数字形式提供，如书籍、报纸、CD及计算机软件和无形资产等由于易被复制和下载的特性，模糊了有形商品、无形劳务及特许权之间的概念，使得商品、劳务和特许权难以分，模糊的边界直接导致对征税对象的难以准确把握和判定。

3. 未明确规定纳税地点。纳税地点是纳税人(包括代征、代扣、代缴义务人)缴纳税款的具体地点。纳税地点涉及到税收管辖权和常设机构等问题，现行税制对纳税地点以领土原则和有形原则为依据，但是由于电子商务的交易活动往往没有固定的物理交易场所，使得纳税地点也变得十分灵活和隐匿，具有很强的流动性和随意性。与此同时，电子商务中涉及的其他方面，如服务器、卖方、支付方、物流所在地等可能都处在不同的位置。因此，税务机关往往无法像对传统交易活动那样准确地确认纳税人的经营地或纳税行为发生地，也就无法正确行使税收管辖权。

4. 电子商务主要是做什么的

电子商务是以信息网络技术为手段，以商品交换为中心的商务活动；也可理解为在互联网、企业内部网和增值网上以电子交易方式进行交易活动和相关服务的活动，是传统商业活动各环节的电子化、网络化、信息化；以互联网为媒介的商业行为均属于电子商务的范畴。

电子商务可提供网上交易和管理等全过程的服务。因此，它具有广告宣传、咨询洽谈、网上定购、网上支付、电子账户、服务传递、意见征询、交易管理等各项功能。

1、广告宣传

电子商务可凭借企业的Web服务器和客户的浏览，在Internet上发布各类商业信息。客户可借助网上的检索工具迅速地找到所需商品信息，而商家可利用网上主页和电子邮件在全球范围内作广告宣传。与以往的各类广告相比，网上的广告成本最为低廉，而给顾客的信息量却最为丰富。

2、咨询洽谈

电子商务可借助非实时的电子邮件，新闻组和实时的讨论组来了解市场和商品信息、洽谈交易事务，如有进一步的需求，还可用网上的白板会议（Whiteboard Conference）来交流即时的图形信息。网上的咨询和洽谈能超越人们面对面洽谈的限制、提供多种方便的异地交谈形式。

3、网上订购

电子商务可借助Web中的邮件交互传送实现网上的订购。网上的订购通常都是在产品介绍的页面上提供十分友好的订购提示信息和订购交互格式框。当客户填完订购单后，通常系统会回复确认信息单来保证订购信息的收悉。订购信息也可采用加密的方式使客户和商家的商业信息不会泄漏。

4、网上支付

电子商务要成为一个完整的过程。网上支付是重要的环节。客户和商家之间可采用信用卡账号实施支付。在网上直接采用电子支付手段将可省略交易中很多人员的开销。网上支付将需要更为可靠的信息传输安全性控制以防止欺骗、窃听、冒用等非法行为。

5、电子账户

网上的支付必须有电子金融来支持，即银行或信用卡公司及保险公司等金融单位要为金融服务提供网上操作的服务。而电子账户管理是其基本的组成部分。

信用卡号或银行账号都是电子账户的一种标志。而其可信度需配以必要技术措施来保证，如数字凭证、数字签名、加密等，这些手段的应用提供了电子账户操作的安全性。

6、服务传递

对于已付了款的客户应将其订购的货物尽快地传递到他们的手中。而有些货物在本地，有些货物在异地，电子邮件将能在网络中进行物流的调配。而最适合在网上直接传递的货物是信息产品。如软件、电子读物、信息服务等。它能直接从电子仓库中将货物发到用户端。

7、意见征询

电子商务能十分方便地采用网页上的“选择”、“填空”等格式文件来收集用户对销售服务的反馈意见。这样使企业的市场运营能形成一个封闭的回路。客户的反馈意见不仅能提高售后服务的水平，更使企业获得改进产品、发现市场的商业机会。

8、交易管理

整个交易的管理将涉及人、财、物多个方面，企业和企业、企业和客户及企业内部等各方面的协调和管理。因此，交易管理是涉及商务活动全过程的管理。电子商务的发展，将会提供一个良好的交易管理的网络环境及多种多样的应用服务系统。这样，能保障电子商务获得更广泛的应用。

(4)电子商务草案漏洞扩展阅读：

电子商务领域监管立法进程再提速。《电子商务法（草案）》第二次提交全国人大常委会审议，草案二审稿进一步强化了电商平台对假冒伪劣产品的监督责任，并拟明确电子商务经营者不得以虚假宣传、虚构交易、编造用户评价等方式侵害消费者知情权。

这意味着，今后电子商务经营者“刷单”、“刷信誉”等行为或被禁止。

在业内看来，进一步细化后的草案将有效推动网络空间秩序管理，将禁止刷单等规则列入草案中，也使得未来电商规范管理有法可依。

1、平台承担连带责任

具体来说，草案拟规定，电子商务平台经营者知道或者应当知道平台内经营者侵犯知识产权的，应当采取删除、屏蔽、断开链接、终止交易和服务等必要措施；未采取必要措施的，与侵权人承担连带责任。

而原版草案则规定，电商平台“明知”平台内经营者侵犯知识产权的，应当依法采取删除等必要措施，不难看出，二审稿进一步加强了对知识产权的保护。

从“明知”到“知道或者应当知道”的表述变化，对电商平台经营者治理假货提出了更明确、更严格的要求，通过强化电商平台对侵权假冒行为的责任，体现了立法对知识产权的进一步保护。

而为进一步强化电子商务经营者特别是平台经营者的义务规范，加强消费者权益保护，草案二审稿拟规定，电子商务经营者应按照承诺或与消费者约定的方式、时限向消费者交付商品或服务，并承担商品运输中的风险和责任；

电子商务平台经营者对标记为自营业务的商品交易或服务交易依法承担商品销售者或服务提供者的责任。

针对“刷单”、“刷信誉”等不良之风，草案拟规定，电子商务经营者不得以虚假宣传、虚构交易、编造用户评价等方式侵害消费者知情权。

2、填补监管漏洞

草案二审稿对电子商务经营者刷单、刷信誉行为做出严令禁止后，可以预计，这将大幅度减少当前行业内暗藏的刷单乱象。

一名刷单手一天只要刷不足20单就可获得100元左右的回报，如果能够拉拢到其他单手入群，可获取的收益会更高。甚至在平台商家竞争激烈的情况下，行业内传出了“不刷单等死”的理论。

刷单灰黑产业犹如行业毒瘤，虽然平台打击刷单一直处于高压态势，但隐蔽的刷单产业链利用平台没有执法权的无奈，依然吸附于电商平台之上。

而草案二审稿中有关明确电商平台连带责任的内容，则进一步对电商平台打击假货的工作提出了更高要求。实际上，强化电商平台知产保护，也就是通俗意义上坚持正品品牌、打击假货的问题上，一直是电商行业发展中老生常谈的话题。

京东全球购因平台上有第三方商家销售假“Tiger虎牌”保温杯而陷入舆论风波，尽管事后京东拿出证据表明，集团与正品虎牌的授权合作早于2014年就已经展开，但第三方商家的售假行为仍不能彻底打消社会各界的疑虑。

3、政策仍存细化空间

目前仍处审议阶段的电子商务法距正式出台尚有一段时日，各界对法案进一步细化也抱有较高期望。电子商务法草案的进一步细化显然将进一步推动我国网络空间的秩序管理。

除了将禁止刷单的行为增加在草案中，后续还需要考虑如何对刷单处罚措施进行细化，但考虑到互联网行业所存在的特性，草案内容的细化乃至落地实施仍需要经历一段持续推进的过程。

而在假货治理方面，如果说原草案中对电商平台承担连带责任的限定条件是平台存在主观放纵，在草案二审稿中的表述则意味着，电商平台需要进一步做到在商家审批、入驻环节的审核强化，甚至对于一些消费者在评论中提到的售假线索也要做出相应的线索追踪。

今后电子商务法应增加媒体购物的相关内容，网络购物与电视购物、电话购物、广播购物、报纸购物相结合的模式大量存在，电子商务的发展呈现出一种全渠道趋势，此外，现在流行的一些网络直播以及相关经济行为，也采取摄像和录像的方式向消费者呈现，这与传统电视媒体并无二致。

5. 电子商务是做什么的

您好

电子商务是以信息网络技术为手段，以商品交换为中心的商务活动；也可理解为在互联网、企业内部网和增值网上以电子交易方式进行交易活动和相关服务的活动，是传统商业活动各环节的电子化、网络化、信息化；以互联网为媒介的商业行为均属于电子商务的范畴。

电子商务可提供网上交易和管理等全过程的服务。因此，它具有广告宣传、咨询洽谈、网上定购、网上支付、电子账户、服务传递、意见征询、交易管理等各项功能。

1、广告宣传

电子商务可凭借企业的Web服务器和客户的浏览，在Internet上发布各类商业信息。客户可借助网上的检索工具迅速地找到所需商品信息，而商家可利用网上主页和电子邮件在全球范围内作广告宣传。与以往的各类广告相比，网上的广告成本最为低廉，而给顾客的信息量却最为丰富。

2、咨询洽谈

电子商务可借助非实时的电子邮件，新闻组和实时的讨论组来了解市场和商品信息、洽谈交易事务，如有进一步的需求，还可用网上的白板会议（Whiteboard Conference）来交流即时的图形信息。网上的咨询和洽谈能超越人们面对面洽谈的限制、提供多种方便的异地交谈形式。

3、网上订购

电子商务可借助Web中的邮件交互传送实现网上的订购。网上的订购通常都是在产品介绍的页面上提供十分友好的订购提示信息和订购交互格式框。当客户填完订购单后，通常系统会回复确认信息单来保证订购信息的收悉。订购信息也可采用加密的方式使客户和商家的商业信息不会泄漏。

4、网上支付

电子商务要成为一个完整的过程。网上支付是重要的环节。客户和商家之间可采用信用卡账号实施支付。在网上直接采用电子支付手段将可省略交易中很多人员的开销。网上支付将需要更为可靠的信息传输安全性控制以防止欺骗、窃听、冒用等非法行为。

5、电子账户

网上的支付必须有电子金融来支持，即银行或信用卡公司及保险公司等金融单位要为金融服务提供网上操作的服务。而电子账户管理是其基本的组成部分。

信用卡号或银行账号都是电子账户的一种标志。而其可信度需配以必要技术措施来保证，如数字凭证、数字签名、加密等，这些手段的应用提供了电子账户操作的安全性。

6、服务传递

对于已付了款的客户应将其订购的货物尽快地传递到他们的手中。而有些货物在本地，有些货物在异地，电子邮件将能在网络中进行物流的调配。而最适合在网上直接传递的货物是信息产品。如软件、电子读物、信息服务等。它能直接从电子仓库中将货物发到用户端。

7、意见征询

电子商务能十分方便地采用网页上的“选择”、“填空”等格式文件来收集用户对销售服务的反馈意见。这样使企业的市场运营能形成一个封闭的回路。客户的反馈意见不仅能提高售后服务的水平，更使企业获得改进产品、发现市场的商业机会。

8、交易管理

整个交易的管理将涉及人、财、物多个方面，企业和企业、企业和客户及企业内部等各方面的协调和管理。因此，交易管理是涉及商务活动全过程的管理。电子商务的发展，将会提供一个良好的交易管理的网络环境及多种多样的应用服务系统。这样，能保障电子商务获得更广泛的应用。

(5)电子商务草案漏洞扩展阅读：

电子商务领域监管立法进程再提速。《电子商务法（草案）》第二次提交全国人大常委会审议，草案二审稿进一步强化了电商平台对假冒伪劣产品的监督责任，并拟明确电子商务经营者不得以虚假宣传、虚构交易、编造用户评价等方式侵害消费者知情权。

这意味着，今后电子商务经营者“刷单”、“刷信誉”等行为或被禁止。

在业内看来，进一步细化后的草案将有效推动网络空间秩序管理，将禁止刷单等规则列入草案中，也使得未来电商规范管理有法可依。

1、平台承担连带责任

具体来说，草案拟规定，电子商务平台经营者知道或者应当知道平台内经营者侵犯知识产权的，应当采取删除、屏蔽、断开链接、终止交易和服务等必要措施；未采取必要措施的，与侵权人承担连带责任。

而原版草案则规定，电商平台“明知”平台内经营者侵犯知识产权的，应当依法采取删除等必要措施，不难看出，二审稿进一步加强了对知识产权的保护。

从“明知”到“知道或者应当知道”的表述变化，对电商平台经营者治理假货提出了更明确、更严格的要求，通过强化电商平台对侵权假冒行为的责任，体现了立法对知识产权的进一步保护。

而为进一步强化电子商务经营者特别是平台经营者的义务规范，加强消费者权益保护，草案二审稿拟规定，电子商务经营者应按照承诺或与消费者约定的方式、时限向消费者交付商品或服务，并承担商品运输中的风险和责任；

电子商务平台经营者对标记为自营业务的商品交易或服务交易依法承担商品销售者或服务提供者的责任。

针对“刷单”、“刷信誉”等不良之风，草案拟规定，电子商务经营者不得以虚假宣传、虚构交易、编造用户评价等方式侵害消费者知情权。

2、填补监管漏洞

草案二审稿对电子商务经营者刷单、刷信誉行为做出严令禁止后，可以预计，这将大幅度减少当前行业内暗藏的刷单乱象。

一名刷单手一天只要刷不足20单就可获得100元左右的回报，如果能够拉拢到其他单手入群，可获取的收益会更高。甚至在平台商家竞争激烈的情况下，行业内传出了“不刷单等死”的理论。

刷单灰黑产业犹如行业毒瘤，虽然平台打击刷单一直处于高压态势，但隐蔽的刷单产业链利用平台没有执法权的无奈，依然吸附于电商平台之上。

而草案二审稿中有关明确电商平台连带责任的内容，则进一步对电商平台打击假货的工作提出了更高要求。实际上，强化电商平台知产保护，也就是通俗意义上坚持正品品牌、打击假货的问题上，一直是电商行业发展中老生常谈的话题。

京东全球购因平台上有第三方商家销售假“Tiger虎牌”保温杯而陷入舆论风波，尽管事后京东拿出证据表明，集团与正品虎牌的授权合作早于2014年就已经展开，但第三方商家的售假行为仍不能彻底打消社会各界的疑虑。

3、政策仍存细化空间

目前仍处审议阶段的电子商务法距正式出台尚有一段时日，各界对法案进一步细化也抱有较高期望。电子商务法草案的进一步细化显然将进一步推动我国网络空间的秩序管理。

除了将禁止刷单的行为增加在草案中，后续还需要考虑如何对刷单处罚措施进行细化，但考虑到互联网行业所存在的特性，草案内容的细化乃至落地实施仍需要经历一段持续推进的过程。

而在假货治理方面，如果说原草案中对电商平台承担连带责任的限定条件是平台存在主观放纵，在草案二审稿中的表述则意味着，电商平台需要进一步做到在商家审批、入驻环节的审核强化，甚至对于一些消费者在评论中提到的售假线索也要做出相应的线索追踪。

今后电子商务法应增加媒体购物的相关内容，网络购物与电视购物、电话购物、广播购物、报纸购物相结合的模式大量存在，电子商务的发展呈现出一种全渠道趋势，此外，现在流行的一些网络直播以及相关经济行为，也采取摄像和录像的方式向消费者呈现，这与传统电视媒体并无二致。

6. 电子商务安全存在哪些问题怎么解决

(一)计算机网络安全威胁
电子商务包含“三流”：信息流、资金流、物流，“三流”中以信息流为核心为最重要，电子商务正是通过信息流为带动资金流、物流的完成。计算机网络的安全必将影响电子商务中的“信息流”的传递，势必影响电子商务的开展。计算机网络存在以下安全威胁：
1.黑客攻击
黑客攻击是指黑客非法进入网络，非法使用网络资源。
2.计算机病毒的攻击
病毒是能够破坏计算机系统正常进行，具有传染性的一段程序。
3.拒绝服务攻击
拒绝服务攻击(DoS)是一种破坏性的攻击，它是一个用户采用某种手段故意占用大量的网络资源，使系统没有剩余资源为其他用户提供服务的攻击。

(二)商务交易安全威胁
Internet存在以下安全隐患：
1.开放性
开放性和资源共享是Internet最大的特点，但它的问题却不容忽视的。正是这种开放性给电子商务带来了安全威胁。
2.缺乏安全机制的传输协议
TCP／IP协议是建立在可信的环境之下，缺乏相应的安全机制，这种基于地址的协议本身就会泄露口令，根本没有考虑安全问题；
3.软件系统的漏洞
随着软件系统规模的不断增大，系统中的安全漏洞或“后门”也不可避免的存在。
4.信息电子化
电子化信息的固有弱点就是缺乏可信度，电子信息是否正确完整是很难由信息本身鉴别的，而且在Internet传递电子信息，存在着难以确认信息的发出者以及信息是否被正确无误地传递给接收方的问题。
(三)计算机网络安全威胁与商务交易安全威胁给电子商务带来的安全问题
1.信息泄露
在电子商务中表现为商业机密的泄露，以上计算机网络安全威胁与Internet的安全隐患可能使得电子商务中的信息泄漏，
2.篡改
正是由于以上计算机网络安全威胁与Internet的安全隐患，电子的交易信息在网络上传输的过程中，可能被他人非法地修改、删除或重放(指只能使用一次的信息被多次使用)，这样就使信息失去了真实性和完整性。
3.身份识别
正是由于电子商务交易中交易两方通过网络来完成交易，双方互不见面、互不认识，计算机网络的安全威胁与Internet的安全隐患，也可能使得电子商务交易中出现身交易身份伪造的问题。
4.信息破坏
计算机网络本身容易遭到一些恶意程序的破坏，如计算机病毒、特洛伊木马程序、逻辑炸弹等，导致电子商务中的信息在传递过程被破坏。
5.破坏信息的有效性
电子商务中的交易过程中是以电子化的信息代替纸面信息，这些信息我们也必须保证它的时间的有效与本身信息的有效，必须能确认该信息确是由交易一方签发的，计算机网络安全威胁与Internet的安全隐患，使得我们很难保证电子商务中的信息有效性。
6.泄露个人隐私
隐私权是参与电子商务的个人非常关心的一个问题。参与到电子商务中的个人就必须提供个人信息，计算机网络安全威胁与Internet的安全隐患有可能导致个人信息泄露，破坏到个人隐私

解决方法：
一)利用电子商务安全技术 1.计算机网络安全技术
电子商务中利用的重要工具计算机网络，存在着很多的安全威胁，计算机网络的建立足我们开展电子商务的基础，我们要保证电子商务的安全，首先就要保证计算机网络的安全。
(1)防火墙技术
(2)入侵检测系统(IDS)，入侵检测的软件与硬件的组合就是入侵检测系统(Intrusion Detection System，简称IDS)。
(3)虚拟专用网(VPN)技术
(4)病毒防治技术
电子商务中的计算机网络不断受到病毒攻击的危害，为了把计算机病毒的危害减小到最低，我们可以从以下几方面从入手：一是高度重视计算机病毒；二是安装计算机病毒防治软件，不断更新病毒库。
2.商务交易安全技术
为了营造一个安全的电子商务环境，我们一定要保证传统的商务活动在互联网上进行的安全，我们就应该建立一个电子商务的安全体系，
(1)基本加密技术
将明文数据进行某种变换，使其成为不可理解的形式，这个过程就是加密，这种不可理解的形式称为密文。
(2)安全认证手段
利用基本加密技术还只能保证电子商务中信息的保密性
①利用数字信封技术保证电子商务中信息的保密性。
②利用以Hash函数为核心的数字摘要技术来保证电子商务中信息的完整性。
③建立CA认证体系给电子商务交易各方发放数字证书，
④利用数字时间戳来保证电子商务中信息的有效性。
⑤利用数字签名技术来保证电子商务中的通信的不可抵赖、不可否认，信息的有效性。
(3)安全协议
必须把安全认证手段跟安全协议配合起来建立电子商务安全解决方案。目前电子商务中有两种安全认证协议被广泛使用，即安全套接层SSL(Secure Sockets Layer)协议和安全电子交易SET(Secure Electronic Transaction)协议。
(二)制定电子商务安全管理制度
电子商务安全管理制度是用文字形式对各项安全要求所做的规定，这些制度应该包括人员管理制度、保密制度、跟踪审计制度、系统维护制度、数据备份制度、病毒定期清理制度等。
(三)加强诚信教育，建立社会诚信体系
电子商务中的很多安全问题比如交易的抵赖、否认、个人隐私权的破坏，说到底还是人的诚信问题，为了促进电子商务更好的发展，打消消费者对于电子商务的安全顾虑，我们应该加强诚信教育，建立社会诚信体系。

7. 电商主要是做什么的

广义上的电子商务，其实指的是通过电子手段所进行的商业事务活动。狭义回上指的是商业活动，而答广义上则泛指事务活动。

事务活动，其实就是利用网络电子技术，极大提升企业的经营效率或是降低企业运营成本。通过互联网，使企业公司内部、供应商、客户和合作伙伴之间利用电子业务共享信息，打造信息对等透明，以提高企业的生产、库存、流通和资金等各个环节的效率。

所以广义上的电子商务，更多是用来提振企业经营效率的，而非是直接面向于消费者端，因此广义上的电子商务，知道的人自然就少。

如现在许多非常流行的针对企业端的SaaS软件或者服务，如云服务、查企业、人脉资源等等，这些就是在企业端口所做的电子商务模式。

(7)电子商务草案漏洞扩展阅读

B2B的一种实现是其在传统企业中的应用。有些传统企业的实质性业务，正在逐步向B2B转变，更多地以WEB方式来传递信息和实现网络(互联网)上订单，但物流方式就和之前没啥变化。

以通用汽车为例，通用汽车建立了1个B2B电子商务网站——TradeXchange，计划在今年年底之间，将其每年高达870亿美元的采购业务完全通过该网站进行。

8. 电子商务法草案面临的问题有哪些应该如何解决

电子商务法草案面临的问题如下：

1. 电子商务法规范对象如何界定；

2. 电子商务经营主体是否应该考虑将物流企业纳入；

3. 关于电商第三平台“先行赔付”问题等。

9. 电子商务所面临的安全问题有哪些

电子商务的安全问题主要有以下几点：
1.交易信息内容被篡改

从贸易活动角度上看，交易信息是商务活动中进行贸易活动所形成的一种信息，包括了客户订单信息、订单确认信息、客户个人信息等。这些信息具有一定机密性，在信息传递过程中利用Internet或电话网对这些交易信息进行篡改或截获与恶意破坏。

2.电子支付信息盗取

电子支付信息是在商务活动中进行一种支付方式。支付信息包括客户银行账户、密码、个人银行识别码等信息。这些信息具有绝对机密性，防止非法者盗用信息，伪造假身份进入系统，利用这些信息进行非法活动，是电子商务活动中必须要解决的问题。

3.系统漏洞

非法者借助电子商务系统存在的漏洞进行进入系统，对系统中的数据进行篡改，取消用户订单信息，生成虚假信息等方式。

二、引起电子商务信息不安全的主要因素

电子商务是建立在互联网应用平台上一种商务活动，它在为电子商务提供网络技术保证的同时，也是引起电子商务信息不安全的主要因素，产生这些不安全的主要因素包括：

1.互联网的开发性和共享性

由于电子商务是建立互联网技术平台上的一种商务活动，它继承了互联网的开放性和共享性，打破地域之间的界限，让用户能够在不同地域自由地进行沟通与交流，形成一个全球化的完整整体。与此同时，这也是为泄漏信息，非法散布信息提供一个平台。如客户信息家庭地址、客户联系电话、客户银行账号、客户密码等重要信息的泄漏。

2.互联网上的Cookie技术的应用

很多网站为了便于用户在登录或浏览时能够快速对网站进行浏览，都需要新用户在第一次登录时进行注册，用户信息都被自动记录到该网站上，再进行登录时网站会自动识别这些信息。如电子邮箱、网站会员等。形成这种方式就是利用互联网上的Cookie技术。Cookie技术能够收集用户的信息，当非法人获得了这些信息，就很容易将这些信息进行泄漏或转为其他使用，给用户个人信息的不安全带来隐患。

3.电子商务产品的不过硬

目前，有一些小型的电子商务网站在追求利益同时忽略电子商务安全产品的质量，有些产品在安全措施是采用“移植”其他安全技术，也有些厂商对电子商务安全技术欠缺足够了解，使得产品安全技术不过硬，引起在电子商务活动的过程中造成了信息不安全。

4.电子商务管理体制不健全

目前虽然我国政府已将电子商务的管理提上日程，在一定程度上建立并制定了有关的电子商务立法和政策，为我国电子商务发展提供了基本的法律保障，但仍在某些地方还不成熟，还需要进一步的完善。如如何引入电子签名、电子签章、数字签名等管理方式保障信息的安全，如何明确在交易过程中双方的责任，如何在交易过程中保障信息的不泄露等方面。

信息摘自《长风网》网络“电子商务安全”，里面好像也有具体的应对对策，希望可以帮到你哦~~