旅遊電子商務有什麼不安全地方
A. 我國旅遊電子商務建設方面還存在哪些問題
3.1 網民及旅遊企業、旅遊網站方面的問題
(1) 網民絕對數不斷提高,但購買力不足
根據中國互聯網信息中心(CNNIC)2010年1月15日所做的第25次中國互聯網路發展狀況統計,截至2009年12月31日,中國網民總數為3.84億,普及率達到28.9%,但10歲以下網民群體增至1.1.%,10-19歲網民群體為31.8%,20-29歲網民群體為28.6%,綜合上面的數據,61.5%的用戶年齡在30歲以下,這說明中國目前的網民整體消費能力不強,中低收入者佔大多數,這些就決定了網民的購買力不足。
(2)國內旅遊企業涉足旅遊電子商務程度低
旅遊企業的信息化主要是指全國8993家旅行社,10481家旅遊飯店,2726個旅遊景點的信息化。目前,擁有獨立網站的旅行社還不到總數的2%,擁有獨立網站的旅遊酒店及旅遊景點還不是各自總數的1%。並且多數旅遊飯店、旅行社、旅遊景點還只是通過建立自己的網頁進行促銷,由於省一級的旅遊電子商務網路基本沒有建立,所以在飯店、旅行社、景點和客戶之間開展電子商務變無從談起。
(3)國內具有完善功能的旅遊企業服務的旅遊網站數量少
目前全國有旅遊網站近3700家,但真正能為企業提供全面電子商務服務的不多。
首先,目前國內互聯網上專注做旅遊電子商務的站點十分有限。雖然旅遊企業紛紛湧向互聯網,並求發展的新契機,但是多數旅遊網站還只是簡單地把網路視作介紹企業、景點和旅遊線路的工具,沒有認識到可以將企業的核心業務流程、CRM等延伸到互聯網上,使產品和服務更貼近用戶需求,以體現網路的巨大價值。特別是在線預訂方面和個性化定製方面、問題 表現等尤為突出。
其次,目前中國旅遊市場信息不對稱、透明度低、旅遊產品價格混亂,大多數旅遊網所發布的旅遊信息業只是一兩家旅行社的線路信息,沒能最大程度地發揮網路的作用。即無法鎖定網民(顧客),也加大了搜索成本。由於網路經濟的正反饋效應、需求方規模的不經濟會加速互聯網企業的衰弱。
3.2 旅遊電子商務的配套設施不完善
(1) 中國信用消費和遠程購物還很不發達,信用消費與中國傳統的消費心理格格不入,持卡消費的人群比例較低。而遠程購物也與我們習慣的一手交錢一手交貨,銀貨兩訖的交易方式大相庭徑。在有關法律不健全的情形下,在線交易對雙方都存在較大的道德風險。
(2)在旅遊網站中,除了旅行社自建的旅遊網站作為旅行社業務平台外,大多數旅遊網站經營旅行社業務都是未經批準的。這其中的合法性存在問題。
(3)中國旅遊產業鏈不暢,影響旅遊行程和質量的因素較為復雜,旅遊網站很難掌握旅遊的相關部門。因此,目前旅遊網站在線銷售的旅遊產品如果出現質量問題,一般都不比照傳統旅行社進行賠償,這些會令許多遊客對網上的旅遊產品「敬而遠之」。
(4)電子支付手段不健全。缺乏網路銀行提供的有效、安全的網上支付系統,電子商務系統則難以得到順利的發展。
3.3 旅遊電子商務專業人才不足
旅遊電子商務在不斷的發展,且其發展勢頭相當的強勁,但是相關方面的復合型人才存在相當大的缺口。
4. 基於我國旅遊電子商務存在問題的對策
4.1 政府主導,完善宏觀環境
政府主管部門應從多方面對旅電子商務的發展予以支持,完善旅遊電子商務的軟、 硬體環境和法律環境。
(1)中國旅遊電子商務的發展有賴於通信技術的進步和上網成本的大幅度降低。
目前,中國大眾旅遊、全民旅遊的出遊率與居民電腦普及率的反差不斷降低,但通信費用過高,帶寬過窄也是制約旅遊電子商務的一個重要因素。只有調低電信資費,真正的寬頻高速接入,才可能有更多的人成為互聯網的用戶。
(2)國家應通過立法形式使旅遊網站合法化。
國家可以通過立法要求旅遊網站繳納和旅行社一樣多的保證金,對它們的業務進行必要的、規范化的行業監督,使旅遊網站在此監督下合法化。
(3)各地應由當地政府旅遊管理部門負責建成、完善當地權威性旅遊綜合信息網,從而有目的為營銷提供良好平台。
4.2 引導和培養大眾網上消費觀念
電子商務離不了消費者的參與,消費者對它的認識在很大程度上影響著它的進程。美國的電子商務之所以發展較快,與它們現有的社會條件和消費方式有很大的關系,美國郵購和電話訂購比較成熟,消費者習慣使用信用卡交易。中國恰恰缺乏這種環境,消費者習慣銀貨兩訖的交易方式。因此, 政府和企業應當運用輿論工具,引導和培養人們的新觀念,調動消費者廣泛參與的積極性。
4.3 整合企業、旅行社、客服,共享信息資源
(1)我國旅遊電子商務發展的最終受益者是旅遊企業,所以旅遊企業應該在電子商務中發揮主要推動作用。旅遊企業應積極商務,建立自己內部的業務處理和管理信息系統,並與互聯網高度融合,建設面向代理商的電子分銷系統和面向旅遊者的在線銷售系統,創建、鞏固和發展自己的品牌,從而實現規模化、網路化經營。
(2)注重個性化產品的開發。個性化服務最大的好處在與當公眾的喜好都暴露無遺時,商家可以進行針對性促銷,而客戶也可以得到最滿意的方案。這就需要全面地收集、提煉和整合不同消費者的需求特點,然後將這些信息加以細分,並提供相應的產品和服務,消費者可以自由選擇旅遊目的地、飯店、腳踏工具等等。
(3) 上網旅遊者往往希望和其他旅遊者加強信息交流。獲得更多的信息。如果旅遊網站能給網上顧客一個機會,使他們能夠在網上交談,互訴旅遊的心得體會,網站就有可能獲得寶貴的顧客資源。
4.4 與銀行合作,解決網上支付及安全問題,重視人才培養
(1)目前,由於我國消費者傳統的消費心理和當心網上支付的安全問題,網上支付問題仍然制約著我國旅遊電子商務的發展。國內各大銀行應盡早介入旅遊電子商務,為旅遊企業的網上營銷提供信用擔保。旅遊企業也應積極與銀行合作,借鑒發達國家的經驗,普及信用卡、電子現金、電子支票等電子支付方式,使網上付款變得安全、方便、快捷、高效。使在線交易和在線支付統一,改變上網查詢和預訂、下網進行交易和結算的現狀,以實現真正意義上的旅遊電子商務。
(2) 培養復合型人才。由於旅遊電子商務是旅遊和電子商務的整合,所以,應加快具有電子商務和旅遊知識的復合型人才的培養。只有這樣,才能將電子商務的技術、功能和模式密切地與旅遊行業的組織、管理、業務方式及其特點相聯系,優化旅遊電子商務的整體功能。旅遊部門與旅遊院校應順應時代要求,著力培養商務型、技術型、戰略型人才。
B. 移動電子商務有哪些不安全因素
移動商務環境中有許多新的攻擊點,這些威脅的范圍和特性隨著應用及其運行環境的不同而千差萬別,下面列舉一些典型的威脅和挑戰。
一)無線竊聽
在移動通信網路中,所有的網路通信內容(如移動用戶的通話信息、身份信息、位置信息、數據信息以及移動站與網路控制中心之間的信息等)都是通過無線信道傳送的。而無線信道是一個開放性信道,任何擁有適當無線設備的人均可以通過竊聽無線信道而獲得上述信息。
(二)假冒攻擊
在移動通信網路中,移動站(包括移動用戶和移動終端)與網路控制中心以及其他移動站之間不存在任何固定的物理連接(如網路電纜),移動站必須通過無線信道傳送其身份信息,以便網路控制中心以及其他移動站能夠正確鑒別它的身份。由上述內容可知,無線信道中傳送的任何信息都可能被竊聽。當攻擊者截獲一個合法用戶的身份信息時,他就可以利用這個身份信息來假冒該合法用戶的身份入網,這就是所謂的身份假冒攻擊。
(三)信息篡改
所謂信息篡改,是指主動攻擊者對竊聽到的信息進行修改(如刪除或者替代部分或全部信息)之後再將信息傳給原本的接收者。這種攻擊的目的有兩種:一種是攻擊者惡意破壞合法用戶的通信內容,阻止合法用戶建立通信連接;另一種是攻擊者將修改的消息傳給接收者,企圖欺騙接收者,使其相信該修改的消息是由一個合法用戶傳給的。
息篡改攻擊在一些「存儲一轉發」型有線通信網路(如Internet)中是很常見的,而在一些無線通信網路如無線區域網中,兩個無線站之間的信息傳遞可能需要其他無線站或網路中心的轉發,這些「中轉站」有可能篡改轉發的消息。
對於移動通信網路,現場試驗證明信息篡改攻擊是可行的:當主動攻擊者比移動用戶更接近基站時,主動攻擊者發射的信號功率要比移動用戶的強很多倍,使得基站忽略移動用戶發射的信號而只接收主動攻擊者的信號。這樣,主動攻擊者就可以篡改移動用戶的信號後再傳給基地站。在移動通信網路中,信息篡改攻擊對移動用戶與基地站之間的信令傳輸構成很大威脅。
(四)重傳攻擊
所謂重傳攻擊,是指主動攻擊者將竊聽到的有效信息經過一段時間後再傳給信息的接收者。攻擊者的目的是利用曾經有效的信息在改變了的情形下達到同樣的目的。例如,攻擊者利用截獲到的合法用戶口令來獲得網路控制中心的授權,從而訪問網路資源。
C. 旅遊電子商務對旅遊者產生了哪些影響
旅遊電子商務實際主要目的應該有2個,一個是在服務遊客方面,提供給了遊客方便快捷的購票方式,並同時提供了當地旅遊的各方面咨詢,包括攻略等,而且現階段網路購票有一定的折扣。第二個是從戰略層面來講,電子商務是景區或是旅遊企業的未來發展的核心,互聯網本身是工作和生活的一部分,而且逐步佔比越來越大。
D. 旅遊電子商務對傳統旅遊業的影響有哪些
傳統旅遊業存在著以下的缺陷:
(1)觀念較為落後
雖然互聯網信息技術的不斷發展讓我國網民數量開始得以增加,但是,傳統旅遊行業依然沒有認識到網路營銷的重要性和必要性,網上預訂、網上銷售以及網上結算對於很多旅遊企業而言都較為陌生,一些傳統旅遊企業對於網上宣傳和網上促銷效果缺乏一定的體驗和認識。
(2)營銷手段相對落後
傳統旅遊企業大都是中小型企業,並以傳統旅遊營銷為主要發展模式,也就是通過電視、報紙、雜志媒介廣告宣傳的手段來對企業根據技術人員自身的意願或者設想研製出現產品進行推廣,但是,總體效果並不明顯,有著較高的成本。
(3)支付方式和聯系方式較為落後
傳統旅遊企業的商品交易很多依然是利用現金方式進行交易,遊客隨身攜帶很多現金,導致其便捷性和安全性受到影響;其次,傳統旅遊接待方式依然是電報、電話、傳真進行聯系,這些傳統單一的聯系方式不但需要耗費較長的時間,而且費用也相對較高。
旅遊電子商務對傳統旅遊業的影響:
(1)更加滿足旅遊消費者的需求
旅遊電子商務可以迅速整合各種資源,以電子信息傳遞的方式將旅遊注意事項、路線指南、旅遊產品、酒店預訂、支付方式、等信息傳達給消費者。將原來分散的利潤點集中起來,促使其系統化、專業化。將銀行(支付寶)、旅行社、旅遊產品生產者、旅遊者四者很好的結合起來,達到優勢互補、互利共贏、方便快捷的局面。目前很多遊客提出的旅遊消費都朝著個性化、理性化方向發展。
(2)提供個性化旅遊服務
旅遊電子商務將分散的旅遊景點、服務設施和旅遊者在空間上有效的結合起來,將供給者能提供的與需求者所需要的整合起來,形成完善的服務體系,為散客以及小團體提供更加方便的個性化服務。根據國家旅遊局相關數據統計來分析,國內旅遊人數占總數的97%,將近有92%為散客,因此,散客市場相對較大,其對在線旅遊服務也提出了較高的需求,他們的旅遊目的除了觀光之外,還追求一種自由、舒適、高回歸的要求。
(3)對網路的利用
利用網路所具有的雙向交流作用,就能夠讓遊客在享受實惠、方便的同時,為其提供人性化以及個性化的旅遊定製服務,從根本上滿足大眾遊客逐漸變化的口味。
E. 旅遊電子商務問題
我們也是這個題啊。。。。。。
F. 國內旅遊電子商務的發展存在哪些問題
1、旅遊資源整合不佳;
2、旅遊服務整合不佳;
3、配套服務整合不佳;
4、信息系統整合不佳;
5、審計、評級、管控、監督不佳;
6、宣傳、反饋、推廣、營銷不佳;
7、配套金融服務、保險資金、醫療救助等配套不佳;
8、人員配套、人員和機構管理、企業運營不佳。
上面那個人說的是細節問題,我說的是總體宏觀問題,可惜我不是總理不是人大代表,管不了,誰幫我呼籲一下。
G. 自駕游對旅遊電子商務的發展有什麼影響
從短期看,自駕游分流了一部分旅遊電子商務的業務,從長遠看,自駕游也是旅遊電子商務的一部分甚至是重要組成部分,通過合理引導積極策劃,旅行社等實體企業的電子商務業務完全可以參與其中。
1、自駕游的人一般都會在網上查看目的地的旅遊攻略,所以推進了旅遊電子商務的社交化發展。
2、通過旅遊社區進行自駕游產品推廣,或者自己搭建旅遊社區可以取得更好的效果。
3、傳統旅行社有線下的優勢,比如門票、住宿、線路、保險、導游,充分利用這些優勢,組織主題化的自駕游活動,可以演變成o2o旅遊電商的實踐。
H. 旅遊電子商務系統安全威脅類型是什麼舉例說明
安全威脅
1、信息截獲及竊取
在沒有加密措施或加密強度較弱的情況下,攻擊者可以利用互聯網、公共電話網、搭線、電池波輻射范圍內安裝截收裝置等方法,在數據包通過的網關和路由器上截獲數據,獲取機密信息,也可以通過對信息流量和流向、通信頻度和長度等參數進行分析,推斷出需要的信息,例如銀行帳號、密碼及企業機密等信息。
2、信息篡改
當蓄意攻擊者掌握了網路信息格式後,通過網路技術手段對網路中傳輸的報文進行欺騙、攔截和修改後發往目的地,這樣就破壞了傳輸信息的完整性。這種方式主要表現為:篡改授權,使信息變成某個未經授權的人所取得;刪除部分消息;修改消息中的部分信息,讓接收方對接收的信息不能很好的識別或者接收到一個錯誤消息。
3、信息假冒
當攻擊者掌握網路信息數據規律或解密商務信息以後,可以假冒合法用戶或發送假冒信息來欺騙其他用戶。主要表現為:偽造電子郵件;假冒他人身份。
4、交易抵賴
這種方式主要表現為:發送消息者否認發送過某些信息;接收消息者否認收到過某些信息;交易中下了訂單但是不承認;接收到訂單後由於某些原因而不承認本次交易。
比如可以實施的措施:
1、法律措施
在電子商務中,網路的虛擬性、流動性、隱匿性對交易安全及消費者權益保護提出了更多的挑戰,因此制定相應的法律法規來約束互聯網用戶的行為是電子商務的基礎。目前制定的有關法律法規有《中華人民共和國計算機信息系統安全保護條例》、《中華人民共和國計算機信息網路國際互聯網管理暫行規定》、《中華人民共和國計算機信息網路國際互聯網路安全保護管理辦法》、《電子簽名法》等,它們直接約束了計算機安全和電子商務的安全。
2、管理措施
要保證電子商務的安全,行之有效的管理也是必不可少的。電子商務的安全管理是一項復雜的任務,包括了人事管理、密鑰管理、軟體管理、設備管理、場地管理等多個方面。
I. 旅遊電子商務不完善體現在什麼地方
1 網民及旅遊企業、旅遊網站方面的問題
(1) 網民絕對數不斷提高,但購買力不足
根據中國互聯網信息中心(CNNIC)2010年1月15日所做的第25次中國互聯網路發展狀況統計,截至2009年12月31日,中國網民總數為3.84億,普及率達到28.9%,但10歲以下網民群體增至1.1.%,10-19歲網民群體為31.8%,20-29歲網民群體為28.6%,綜合上面的數據,61.5%的用戶年齡在30歲以下,這說明中國目前的網民整體消費能力不強,中低收入者佔大多數,這些就決定了網民的購買力不足。
(2)國內旅遊企業涉足旅遊電子商務程度低
旅遊企業的信息化主要是指全國8993家旅行社,10481家旅遊飯店,2726個旅遊景點的信息化。目前,擁有獨立網站的旅行社還不到總數的2%,擁有獨立網站的旅遊酒店及旅遊景點還不是各自總數的1%。並且多數旅遊飯店、旅行社、旅遊景點還只是通過建立自己的網頁進行促銷,由於省一級的旅遊電子商務網路基本沒有建立,所以在飯店、旅行社、景點和客戶之間開展電子商務變無從談起。
(3)國內具有完善功能的旅遊企業服務的旅遊網站數量少
目前全國有旅遊網站近3700家,但真正能為企業提供全面電子商務服務的不多。
首先,目前國內互聯網上專注做旅遊電子商務的站點十分有限。雖然旅遊企業紛紛湧向互聯網,並求發展的新契機,但是多數旅遊網站還只是簡單地把網路視作介紹企業、景點和旅遊線路的工具,沒有認識到可以將企業的核心業務流程、CRM等延伸到互聯網上,使產品和服務更貼近用戶需求,以體現網路的巨大價值。特別是在線預訂方面和個性化定製方面、問題表現等尤為突出。
其次,目前中國旅遊市場信息不對稱、透明度低、旅遊產品價格混亂,大多數旅遊網所發布的旅遊信息業只是一兩家旅行社的線路信息,沒能最大程度地發揮網路的作用。即無法鎖定網民(顧客),也加大了搜索成本。由於網路經濟的正反饋效應、需求方規模的不經濟會加速互聯網企業的衰弱。
2 旅遊電子商務的配套設施不完善
(1)中國信用消費和遠程購物還很不發達,信用消費與中國傳統的消費心理格格不入,持卡消費的人群比例較低。而遠程購物也與我們習慣的一手交錢一手交貨,銀貨兩訖的交易方式大相庭徑。在有關法律不健全的情形下,在線交易對雙方都存在較大的道德風險。
(2)在旅遊網站中,除了旅行社自建的旅遊網站作為旅行社業務平台外,大多數旅遊網站經營旅行社業務都是未經批準的。這其中的合法性存在問題。
(3)中國旅遊產業鏈不暢,影響旅遊行程和質量的因素較為復雜,旅遊網站很難掌握旅遊的相關部門。因此,目前旅遊網站在線銷售的旅遊產品如果出現質量問題,一般都不比照傳統旅行社進行賠償,這些會令許多遊客對網上的旅遊產品「敬而遠之」。
(4)電子支付手段不健全。缺乏網路銀行提供的有效、安全的網上支付系統,電子商務系統則難以得到順利的發展。
3 旅遊電子商務專業人才不足
旅遊電子商務在不斷的發展,且其發展勢頭相當的強勁,但是相關方面的復合型人才存在相當大的缺口。
J. 電子商務安全隱患有哪些
恩,都對吧,應該就是這些了。以下是對目前國內電子商務站點普遍存在的幾個嚴重的安全問題的一些分析。
1、 客戶端數據的完整性和有效性檢查
1.1、特殊字元的過濾
在 W3C 的 WWW Security FAQ 中關於CGI安全編程一節里列出了建議過濾的字元: &;`'\"|*?~<>^()[]{}$\n\r
這些字元由於在不同的系統或運行環境中會具有特殊意義,如變數定義/賦值/取值、非顯示字元、運行外部程序等,而被列為危險字元。W3C組織強烈建議完全過濾這些特殊字元。但在許多編程語言、開發軟體工具、資料庫甚至操作系統中遺漏其中某些特殊字元的情況時常出現,從而導致出現帶有普遍性的安全問題。1.1.1、CGI和Script編程語言的問題
在幾種國內常見的WEB編程語言中,ASP和Cold Fusion 腳本語言對特殊字元的過濾機制不夠完善,例如沒有對單引號做任何處理等。Perl和php對特殊字元的過濾則較為嚴密,如忽略或加上「\」(取消特殊字元含義)處理。C語言編寫的cgi程序對特殊字元的過濾完全依賴於程序員的知識和技術,因此也可能存在安全問題。
1.1.2、Microsoft ASP腳本
普遍存在的問題是程序員在編寫ASP腳本時,缺少或沒有對客戶端輸入的數據/變數進行嚴格的合法性分析。無意或有意輸入的特殊字元可能由於其特殊含義改變了腳本程序,從而使腳本運行出錯或執行非法操作。例如,當腳本程序需要進行資料庫操作時,惡意用戶可以利用嵌入特殊字元來突破腳本程序原先的限制。
因此,如果攻擊者輸入某些特定sql語句,可能造成資料庫資料丟失/泄漏/甚至威脅整個站點的安全。比如攻擊者可以任意創建或者刪除表(如果可以猜測出已存在的表名),清除或者更改資料庫數據。攻擊者也可能通過執行一些儲存過程函數,將sql語句的輸出結果通過電子郵件發送給自己,或者執行系統命令。
1.1.3、PHP和Perl
雖然提供了加上」\」(取消特殊字元含義)處理的手段,但是處理一些資料庫時依然可以被改寫。(我們本地的測試證實了這情況。)請閱讀下面關於資料庫問題的分析。對於MySQL則沒有問題,\'不會與前面的單引號封閉,而當作一個合法的字元處理。針對oracle和informix等資料庫暫時未進行相關測試。
另外,對於PHP或者Perl語言,很多程序對於數字類型的輸入變數,沒有加單引號予以保護,攻擊者就有可能在這種變數中加入額外的SQL語句,來攻擊資料庫或者獲得非法控制許可權。1.2、資料庫問題
不同的資料庫對安全機制的不同認識和實現方法,使它們的安全性也有所不同。最常見的問題是利用資料庫對某些字元的不正確解釋,改寫被執行的SQL語句,從而非法獲得訪問許可權。例如,Microsoft SQL Server和Sybase對 \'當作了兩個不同字元,所以僅僅在程序中加上」\」仍然可能通過一些特殊手段改寫 SQL語句突破資料庫的安全防線。Microsoft SQL Server也將」—「作為注釋符號,這個符號以後的SQL語句均被忽略,攻擊者可能利用這個來屏蔽掉某些用來認證的SQL語句(例如口令驗證),獲得對合法用戶帳號的控制權。MySQL則將\'作為一個可操作的正常字元,不存在利用\'改寫的可能。其它資料庫如Oracle、Informix和MiniSQL等也必須注意防止各種改寫SQL語句的可能。(註:另外,迄今為止,各種資料庫都或多或少地被發現存在不同程度上的安全漏洞。如Microsoft SQL拒絕服務漏洞,MySQL GRANT許可權可改變任意用戶口令的漏洞,MySQL 遠程繞過口令限制的漏洞,MiniSQL遠程緩沖區溢出漏洞,Oracle Web Listener 非授權訪問漏洞,Oracle dbsnmp符號連接漏洞,Sybase PowerDynamo目錄遍歷漏洞,等等。由於資料庫數據資料是電子商務網站的最重要部份,關繫到電子商務網站的生死存亡,因此修補各種安全漏洞,保證資料庫免受各種攻擊,是絕對必要的!)
2、 Cookie或用戶身份的常用認證問題
對於一個網站會員而言,經常存在需要一次注冊,多次認證的問題,一般採用手段為cookie或input type=hidden來傳遞認證參數。這裡面有幾點隱患:
I. 所攜帶內容必須完整包含帳號密碼,或類似的完整安全信息,如果只攜帶帳號信息或用某種許可權標志來認證,極容易造成非法入侵,我們檢測了一些電子商務網站,很多都有此類安全隱患。例如某站點中的會員更新頁面中攜帶的認證信息是兩個,用戶名和Uid(均為明文傳送)已知Uid對於每個會員是唯一的。由於我們只需要知道對方的帳號和Uid就可以更改對方信息(不需要知道密碼!),只要攻擊者知道Uid(攻擊者可以通過暴力猜測的方法來得到Uid,有時候站點本身也會泄露用戶的Uid,例如在論壇等處)那麼,攻擊者就可以通過遍歷攻擊完成對任意一個帳號的信息更改。
II. 必須所有需要許可權操作的頁面都必須執行認證判斷的操作。如果任何一頁沒有進行這種認證判斷,都有可能給攻擊者以惡意入侵的機會。
III. 很多網站為了方便,將用戶名以及口令信息儲存在Cookie中,有的甚至以明文方式保存口令。如果攻擊者可以訪問到用戶的主機,就可能通過保存的Cookie文件得到用戶名和口令。
3、 大量數據查詢導致拒絕服務
許多網站對用戶輸入內容的判斷在前台,用JavaScript判斷,如果用戶繞過前台判斷,就能對資料庫進行全查詢,如果資料庫比較龐大,會耗費大量系統資源,如果同時進行大量的這種查詢操作,就會有Denial of Service(DoS —— 拒絕服務)同樣的效果。
解決方法:
1、客戶端數據完整性和有效性檢查的解決辦法
根據目前國內電子商務網站普遍存在的安全問題,主要的原因是未對某些特殊字元——例如單引號(』)進行過濾,或過濾機制不夠完善。因此較為根本的解決方法是加強過濾機制,對用戶輸入數據進行全面的檢查。以對ASP + Microsoft SQL Server類型的網站危害比較大的單引號(』)為例。目前可以肯定的是僅僅通過加上」\」或雙引號處理是不健全的,必須杜絕單引號在處理程序的SQL語句中出現。I. 對於從客戶端接收的數據變數應該用"』"(單引號)來引用;
II. 對用戶輸入的所有數據進行合法性檢查(盡可能放在後台校驗),包括數據長度和數據內容,將其中的特殊意義字元替換或不予往下執行。例如,將"』"替換成"』』" (兩個單引號)號或用雙位元組中文單引號替換;而對於數字型變數,要檢查輸入的數據是否全為數字。
III. 對象資料庫不使用系統默認的dbo用戶。並盡量減少新增用戶的許可權;以ASP為例,具體的實現可以通過函數Replace函數來實現,如:<%
username=Replace(trim(Request.Form(「username」)),」』」,」』」)
password=Replace(trim(Request.Form(「password」)) ,」』」,」』」)
%>
以上例子將變數username與password中的字元」』」(單引號)替換成雙位元組中文單引號。如希望用戶能使用單位元組單引號」』」,可參考使用如下函數:
<%
function CheckStr(str)
dim tstr,l,i,ch
l=len(str)
for i=1 to l
ch=mid(str,i,1)
if ch="』" then
tstr=tstr+"』"
end if
tstr=tstr+ch
next
CheckStr=tstr
end function
%>該函數將需要校驗的數據中的單位元組單引號後添加了"』",這樣,送入SQL中的"』"就變成了"』』",當輸出該欄位數據時,該項內容中的"』』"輸出為"』"。對於其他的CGI編程語言,可以參照上述方法的思路進行處理。2、 Cookie或用戶身份的常用認證問題的解決辦法
由於session (會話)機制主要由伺服器控制,比利用cookie傳遞認證參數更為安全可靠,因此可使用session會話取代cookie認證。如果必須使用Cookie傳遞參數,必須將參數內容進行加密,並正確設置Cookie的有效時間。3、 大量數據查詢導致拒絕服務的解決辦法
為了安全起見,應該將可能導致出現這種拒絕服務攻擊的Javascript移植到由伺服器端執行,防止客戶端向伺服器提交過量的資料庫操作。4、 若對本次安全公告有不明之處,請與我們聯系獲得進一步的幫助。
鑒於此漏洞的嚴重性,我們將向國內站點提供解決這個安全問題的免費技術支持