电子商务安全管理

实实 验验 报报 告告 院院 系系 华华东东交交大大经经管管 课课程程名名称称 电电子子商商务务安安全全管管理理 专专业业班班级级 电电子子商商务务 姓姓 名名 学学 号号 0 06 6 指指导导教教师师 张张老老师师 时时 间间 2 20 01 13 3 4 4 1 16 6 2013Page 2 of 13 1 1 实验目的实验目的 IE 是使用最广泛的浏览器 它使用方便 功能强大 但由于它支持 Javascript 脚本和 ActiveX 空间等元素 使得在利用它浏览网页时留下了很多安全隐患 过实验操作 了解 cookie 的作用和管理方法 掌握禁用或限制使用 Java Java 小程序脚本 ActiveX 控件和插 件的方法 了解防火墙的设置和应用 1 2实验内容实验内容 一 了解 cookie 的作用和管理方法 通过百度等网上资源搜索了解什么是 Cookie 1 什么是 Cookie 答 Cookie 是进行 session 跟踪而储存在用户本地终端上的数据 通常经过加密 它是由服务器端生成 发送给 User Agent 一般是浏览器 浏览器会将 Cookie 的 key value 保存到某个目录下的文本文件内 下次请求同一网站时就发送该 Cookie 给服 务器 前提是浏览器设置为启用 cookie Cookie 名称和值可以由服务器端开发自己定 义 对于 JSP 而言也可以直接写入 jsessionid 这样服务器可以知道该用户是否合法用 户以及是否需要重新登录等 2 讨论 Cookie 对于电子商务交易的影响有哪些 答 安全性问题 Cookie 就是用户数据包 它记录着用户上网的行为 上网特点 以及上网输入的文字 甚至是用户名 密码 也可能包含其他隐私内容 在电子商务交 易中用户的个人信息等隐私可能被不法分子窃取 因此存在安全隐患 3 讨论 Cookie 的道德和不道德用途 答 Cookie 的道德用途 第一 服务器可以利用 Cookies 包含信息的任意性来筛选 并经常性维护这些信息 以判断在 HTTP 传输中的状态 Cookies 最典型的应用是判定 注册用户是否已经登录网站 用户可能会得到提示 是否在下一次进入此网站时保留用 户信息以便简化登录手续 这些都是 Cookies 的功用 Cookie 的不道德用途 一些网络公司通过收集用户的 Cookie 信息来分析用户的上 网行为 进而贩卖给广告商 埋下了安全隐患 1 Cookie 盗贼 搜集用户 cookie 并发给攻击者的黑客 攻击者将利用 cookie 信息 通过合法手段进入用户帐户 2 Cookie 投毒 一般认为 Cookie 在储存和传回服务器期间没有被修改过 而攻击 者会在 cookie 送回服务器之前对其进行修改 达到自己的目的 例如 在一个购物网站 的 cookie 中包含了顾客应付的款项 攻击者将该值改小 达到少付款的目的 4 表明你的观点 如果你是一个企业电商网站开发者 你是否会在网站上添加 Cookie 功 能 为什么 答 如果我是一个企业电商网站开发者 我会在网站上添加 Cookie 功能 原因 因为企业采用 Cookie 的初衷是为了让用户更便利地使用服务 而不必每次上网都重新载 2013Page 3 of 13 入个人信息 而且使用 Cookie 网站可以测定多少人访问过 测定一个用户多久访问一次网 站 并统计用户在网站进行操作的相关信息 便于有效地对网站采取相应优化的措施 完善 网站各功能 另外 为用户提供更好更便捷的服务 网站采用 Cookie 可以对用户部分信息 的记录 当用户再次访问该网站时 不需要重新反复输入全部信息 根据相应提示 可以快 速地登入 至于安全性问题 任何事物都有两面性 不可能做到绝对安全 关闭 Cookie 的功 能的话 负面效果是上网变得非常慢 需要反复确认用户身份 带来了种种不便 二 禁用或限制使用 Java Java 小程序脚本 ActiveX 控件和插件 1 请按如下步骤进行操作并截图 1 选中 IE 工具 菜单中的 Internet 工具 中的 安全 标签 2 添加受信任的站点 单击 受信任的站点 后点击 站点 按钮 输入不会损坏计算机 和数据的站点并点击 添加 按钮 2013Page 4 of 13 3 添加受限制的站点 单击 受限制的站点 后点击 站点 按钮 输入可能会损坏计算 机和数据的站点 并单击 添加 按钮 添加 4 Internet 区域 单击 Internet 该区域包含不在 受信任的站点 受限制的站点 以及 本地 Internet 这个三个区域的站点 各个区域已根据安全需要禁用或限制使用 Java Java 小程序脚本 ActiveX 控件和插件 但用户还可以按照自己的安全需求进行设 置 选中 安全 标签下的任一区域后 在 该区域的安全级别 中单击 自定义级别 可根据自己的安全需求进行相应设置 这里请选择 受信任的站点 后单击 自定义 级别 在下表中记录默认设置信息 并写入实验报告 名称权限设置 对标记为安全的 ActiveX 控件执 行脚本 启用启用 对没有标记为安全的 ActiveX 控 件进行初始化和脚本运行 禁用禁用 下载未签名的 ActiveX 控件禁用禁用 ActiveX 控件和插件 运行 ActiveX 控件和插件启用启用 Java 小程序脚本启用启用脚本 活动脚本启用启用 文件下载启用启用下载 文件下载自动提示启用启用 用户验证登录只在只在 Intranet 区域自动登入区域自动登入 2013Page 5 of 13 2013Page 6 of 13 5 在 IE 中打开 如将 同 可结合截图描述 答 当将 设置为 受限制的站点 时 在进行下载任意文件操 作时 点击对应下载 将无法获得下载地址 下载不成功 如果将 下载地址 成功操作如下图所示 2 完成以上操作后 请思考为何在企业上网管理中要禁用或限制使用 Java Java 小程序脚 本 ActiveX 控件和插件 Java Java 小程序脚本 ActiveX 控件和插件对于电子商务交易会 2013Page 7 of 13 存在哪些危害 答 由于互联网上经常使用 Java JavaApplet ActiveX 编写的脚本 它们可能会获取你的 用户标识 IP 地址 乃至口令 甚至会在你的电脑上安装某些程序或进行其他操作 不但系统的 安全性 多数网站病毒木马都是通过 JAVA 的方式嵌在主页中 还有 ActiveX 控件有些是恶 意的 而且影响浏览网页的速度 因此应对 Java Java 小程序脚本 ActiveX 控件和插件的使 用进行限制 以提高网页浏览速度 三 调整自动完成功能的设置 缺省条件下 用户在第一次使用 Web 地址 表单 表单的用户名和密码后 如果同意保存密 码 在下一次再想进入同样的 Web 页及输入密码时 只需输入开头部分 后面的就会自动 完成 给用户带来了便利 但同时也带来了安全问题 可以通过调整 自动完成 功能的设置 来解决该问题 可以做到只选择针对 Web 地址 表单和密码使用 自动完成 功能 也可以 只在某些地方使用此功能 还可以清除任何项目的历史记录 具体设置方法如下 1 在 Internet Explorer 的 工具 菜单上 单击 Internet 选项 2 单击 内容 标签 3 在 个人信息 区域 单击 自动完成 4 选中要使用的 自动完成 选项的复选框 为了安全起见 防止泄露自己的一些信息 应该定期清除历史记录 这时只需在第 4 步点击 清除表单 和 清除密码 按钮即可 2013Page 8 of 13 四 了解 winxp 防火墙的设置和应用 依次单击 我的电脑 控制面板 然后在控制面板经典视图中双击 Windows 防火墙 一项 即可打开 Windows 防火墙控制台 1 常规选项卡 常规选项卡 在 Windows 防火墙控制台 常规 选项卡中有两个主选项 启用 推荐 和关闭 不推荐 一个子选项 不允许例外 如果选择了不允许例 外 Windows 防火墙将拦截所有的连接用 户计算机的网络请求 包括在例外选项卡列表中的应用程序和系统服务 另外 防火墙也将 拦截文件和打印机共享 还有网络设备的侦测 使用不允许例外选项的 Windows 防火墙简 直就完全 闭关 了 比较适用于 高危 环境 如餐馆 宾馆和机场等场所连接到公共网络 上 的个人计算机 2013Page 9 of 13 2 例外选项卡 例外选项卡 某些程序需要对外通讯 就可以把它们添加到 例外 选项卡中 这里的程序将被特许可 以提供连接服务 即可以监听和接受来自网络上的连接 在 例外 选项卡界面下方有两个添加按钮 分别是 添加程序 和 添加端口 可以根 据具体的情况手工添加例外项 如果不清楚某个应用程序是 通过哪个端口与外界通信 或 者不知道它是基于 UDP 还是 TCP 的 可以通过 添加程序 来添加例外项 例如要允许 Windows Messenger 通信 则点击 添加程序 按钮 选择应用程序 C Program Files MessengerMessengermsmsgs exe 然后点击 确定 把它加入列表 如果对端口号以及 TCP UDP 比较熟悉 则可以采用后一种方式 即指定端口号的添加 方式 对于每一个例外项 可以通过 更改范围 指定其作用域 对于家用和小型办公室应用 网络 推荐设置作用域为可能的本地网络 当然 也可以自定义作用域中的 IP 范围 这样只 有来自特定的 IP 地址范围的网络请求 才能被接受 2013Page 10 of 13 3 高级选项卡 高级选项卡 在 高级 选项卡中包含了网络连接设置 安全记录 ICMP 设置和还原默认设置四组选 项 可以根据实际情况进行配置 2013Page 11 of 13 网络连接设置 这里可以选择 Windows 防火墙应用到哪些连接上 当然也可以对某个连接进行单独的配 置 这样可以使防火墙应用更灵活 安全记录 2013Page 12 of 13 新版 Windows 防火墙的日志记录与 ICF 大同小异 日志选项里面的设置可以记录防火 墙的跟踪记录 包括丢弃和成功的所有事项 在日志文件选 项里 可以更改记录文件存放 的位置 还可以手工指定日志文件的大小 系统默认的选项是不记录任何拦截或成功的事项 而记录文件的大小默认为 4MB ICMP 设置 Internet 控制消息协议 ICMP 允许网络上的计算机共享错误和状态信息 在 ICMP 设 置对话框中选定某一项时 界面下方会显示出相应的描述信息 可以根据需要进行配置 在 缺省状态下 所有的 ICMP