旅遊電子商務有哪些安全問題
1. 電子商務安全問題有哪些
電子商務是一個計算機與人、商務信息組成的系統
2. 電子商務安全隱患有哪些
恩,都對吧,應該就是這些了。以下是對目前國內電子商務站點普遍存在的幾個嚴重的安全問題的一些分析。
1、 客戶端數據的完整性和有效性檢查
1.1、特殊字元的過濾
在 W3C 的 WWW Security FAQ 中關於CGI安全編程一節里列出了建議過濾的字元: &;`'\"|*?~<>^()[]{}$\n\r
這些字元由於在不同的系統或運行環境中會具有特殊意義,如變數定義/賦值/取值、非顯示字元、運行外部程序等,而被列為危險字元。W3C組織強烈建議完全過濾這些特殊字元。但在許多編程語言、開發軟體工具、資料庫甚至操作系統中遺漏其中某些特殊字元的情況時常出現,從而導致出現帶有普遍性的安全問題。1.1.1、CGI和Script編程語言的問題
在幾種國內常見的WEB編程語言中,ASP和Cold Fusion 腳本語言對特殊字元的過濾機制不夠完善,例如沒有對單引號做任何處理等。Perl和php對特殊字元的過濾則較為嚴密,如忽略或加上「\」(取消特殊字元含義)處理。C語言編寫的cgi程序對特殊字元的過濾完全依賴於程序員的知識和技術,因此也可能存在安全問題。
1.1.2、Microsoft ASP腳本
普遍存在的問題是程序員在編寫ASP腳本時,缺少或沒有對客戶端輸入的數據/變數進行嚴格的合法性分析。無意或有意輸入的特殊字元可能由於其特殊含義改變了腳本程序,從而使腳本運行出錯或執行非法操作。例如,當腳本程序需要進行資料庫操作時,惡意用戶可以利用嵌入特殊字元來突破腳本程序原先的限制。
因此,如果攻擊者輸入某些特定sql語句,可能造成資料庫資料丟失/泄漏/甚至威脅整個站點的安全。比如攻擊者可以任意創建或者刪除表(如果可以猜測出已存在的表名),清除或者更改資料庫數據。攻擊者也可能通過執行一些儲存過程函數,將sql語句的輸出結果通過電子郵件發送給自己,或者執行系統命令。
1.1.3、PHP和Perl
雖然提供了加上」\」(取消特殊字元含義)處理的手段,但是處理一些資料庫時依然可以被改寫。(我們本地的測試證實了這情況。)請閱讀下面關於資料庫問題的分析。對於MySQL則沒有問題,\'不會與前面的單引號封閉,而當作一個合法的字元處理。針對oracle和informix等資料庫暫時未進行相關測試。
另外,對於PHP或者Perl語言,很多程序對於數字類型的輸入變數,沒有加單引號予以保護,攻擊者就有可能在這種變數中加入額外的SQL語句,來攻擊資料庫或者獲得非法控制許可權。1.2、資料庫問題
不同的資料庫對安全機制的不同認識和實現方法,使它們的安全性也有所不同。最常見的問題是利用資料庫對某些字元的不正確解釋,改寫被執行的SQL語句,從而非法獲得訪問許可權。例如,Microsoft SQL Server和Sybase對 \'當作了兩個不同字元,所以僅僅在程序中加上」\」仍然可能通過一些特殊手段改寫 SQL語句突破資料庫的安全防線。Microsoft SQL Server也將」—「作為注釋符號,這個符號以後的SQL語句均被忽略,攻擊者可能利用這個來屏蔽掉某些用來認證的SQL語句(例如口令驗證),獲得對合法用戶帳號的控制權。MySQL則將\'作為一個可操作的正常字元,不存在利用\'改寫的可能。其它資料庫如Oracle、Informix和MiniSQL等也必須注意防止各種改寫SQL語句的可能。(註:另外,迄今為止,各種資料庫都或多或少地被發現存在不同程度上的安全漏洞。如Microsoft SQL拒絕服務漏洞,MySQL GRANT許可權可改變任意用戶口令的漏洞,MySQL 遠程繞過口令限制的漏洞,MiniSQL遠程緩沖區溢出漏洞,Oracle Web Listener 非授權訪問漏洞,Oracle dbsnmp符號連接漏洞,Sybase PowerDynamo目錄遍歷漏洞,等等。由於資料庫數據資料是電子商務網站的最重要部份,關繫到電子商務網站的生死存亡,因此修補各種安全漏洞,保證資料庫免受各種攻擊,是絕對必要的!)
2、 Cookie或用戶身份的常用認證問題
對於一個網站會員而言,經常存在需要一次注冊,多次認證的問題,一般採用手段為cookie或input type=hidden來傳遞認證參數。這裡面有幾點隱患:
I. 所攜帶內容必須完整包含帳號密碼,或類似的完整安全信息,如果只攜帶帳號信息或用某種許可權標志來認證,極容易造成非法入侵,我們檢測了一些電子商務網站,很多都有此類安全隱患。例如某站點中的會員更新頁面中攜帶的認證信息是兩個,用戶名和Uid(均為明文傳送)已知Uid對於每個會員是唯一的。由於我們只需要知道對方的帳號和Uid就可以更改對方信息(不需要知道密碼!),只要攻擊者知道Uid(攻擊者可以通過暴力猜測的方法來得到Uid,有時候站點本身也會泄露用戶的Uid,例如在論壇等處)那麼,攻擊者就可以通過遍歷攻擊完成對任意一個帳號的信息更改。
II. 必須所有需要許可權操作的頁面都必須執行認證判斷的操作。如果任何一頁沒有進行這種認證判斷,都有可能給攻擊者以惡意入侵的機會。
III. 很多網站為了方便,將用戶名以及口令信息儲存在Cookie中,有的甚至以明文方式保存口令。如果攻擊者可以訪問到用戶的主機,就可能通過保存的Cookie文件得到用戶名和口令。
3、 大量數據查詢導致拒絕服務
許多網站對用戶輸入內容的判斷在前台,用JavaScript判斷,如果用戶繞過前台判斷,就能對資料庫進行全查詢,如果資料庫比較龐大,會耗費大量系統資源,如果同時進行大量的這種查詢操作,就會有Denial of Service(DoS —— 拒絕服務)同樣的效果。
解決方法:
1、客戶端數據完整性和有效性檢查的解決辦法
根據目前國內電子商務網站普遍存在的安全問題,主要的原因是未對某些特殊字元——例如單引號(』)進行過濾,或過濾機制不夠完善。因此較為根本的解決方法是加強過濾機制,對用戶輸入數據進行全面的檢查。以對ASP + Microsoft SQL Server類型的網站危害比較大的單引號(』)為例。目前可以肯定的是僅僅通過加上」\」或雙引號處理是不健全的,必須杜絕單引號在處理程序的SQL語句中出現。I. 對於從客戶端接收的數據變數應該用"』"(單引號)來引用;
II. 對用戶輸入的所有數據進行合法性檢查(盡可能放在後台校驗),包括數據長度和數據內容,將其中的特殊意義字元替換或不予往下執行。例如,將"』"替換成"』』" (兩個單引號)號或用雙位元組中文單引號替換;而對於數字型變數,要檢查輸入的數據是否全為數字。
III. 對象資料庫不使用系統默認的dbo用戶。並盡量減少新增用戶的許可權;以ASP為例,具體的實現可以通過函數Replace函數來實現,如:<%
username=Replace(trim(Request.Form(「username」)),」』」,」』」)
password=Replace(trim(Request.Form(「password」)) ,」』」,」』」)
%>
以上例子將變數username與password中的字元」』」(單引號)替換成雙位元組中文單引號。如希望用戶能使用單位元組單引號」』」,可參考使用如下函數:
<%
function CheckStr(str)
dim tstr,l,i,ch
l=len(str)
for i=1 to l
ch=mid(str,i,1)
if ch="』" then
tstr=tstr+"』"
end if
tstr=tstr+ch
next
CheckStr=tstr
end function
%>該函數將需要校驗的數據中的單位元組單引號後添加了"』",這樣,送入SQL中的"』"就變成了"』』",當輸出該欄位數據時,該項內容中的"』』"輸出為"』"。對於其他的CGI編程語言,可以參照上述方法的思路進行處理。2、 Cookie或用戶身份的常用認證問題的解決辦法
由於session (會話)機制主要由伺服器控制,比利用cookie傳遞認證參數更為安全可靠,因此可使用session會話取代cookie認證。如果必須使用Cookie傳遞參數,必須將參數內容進行加密,並正確設置Cookie的有效時間。3、 大量數據查詢導致拒絕服務的解決辦法
為了安全起見,應該將可能導致出現這種拒絕服務攻擊的Javascript移植到由伺服器端執行,防止客戶端向伺服器提交過量的資料庫操作。4、 若對本次安全公告有不明之處,請與我們聯系獲得進一步的幫助。
鑒於此漏洞的嚴重性,我們將向國內站點提供解決這個安全問題的免費技術支持
3. 旅遊電子商務系統安全威脅類型是什麼舉例說明
安全威脅
1、信息截獲及竊取
在沒有加密措施或加密強度較弱的情況下,攻擊者可以利用互聯網、公共電話網、搭線、電池波輻射范圍內安裝截收裝置等方法,在數據包通過的網關和路由器上截獲數據,獲取機密信息,也可以通過對信息流量和流向、通信頻度和長度等參數進行分析,推斷出需要的信息,例如銀行帳號、密碼及企業機密等信息。
2、信息篡改
當蓄意攻擊者掌握了網路信息格式後,通過網路技術手段對網路中傳輸的報文進行欺騙、攔截和修改後發往目的地,這樣就破壞了傳輸信息的完整性。這種方式主要表現為:篡改授權,使信息變成某個未經授權的人所取得;刪除部分消息;修改消息中的部分信息,讓接收方對接收的信息不能很好的識別或者接收到一個錯誤消息。
3、信息假冒
當攻擊者掌握網路信息數據規律或解密商務信息以後,可以假冒合法用戶或發送假冒信息來欺騙其他用戶。主要表現為:偽造電子郵件;假冒他人身份。
4、交易抵賴
這種方式主要表現為:發送消息者否認發送過某些信息;接收消息者否認收到過某些信息;交易中下了訂單但是不承認;接收到訂單後由於某些原因而不承認本次交易。
比如可以實施的措施:
1、法律措施
在電子商務中,網路的虛擬性、流動性、隱匿性對交易安全及消費者權益保護提出了更多的挑戰,因此制定相應的法律法規來約束互聯網用戶的行為是電子商務的基礎。目前制定的有關法律法規有《中華人民共和國計算機信息系統安全保護條例》、《中華人民共和國計算機信息網路國際互聯網管理暫行規定》、《中華人民共和國計算機信息網路國際互聯網路安全保護管理辦法》、《電子簽名法》等,它們直接約束了計算機安全和電子商務的安全。
2、管理措施
要保證電子商務的安全,行之有效的管理也是必不可少的。電子商務的安全管理是一項復雜的任務,包括了人事管理、密鑰管理、軟體管理、設備管理、場地管理等多個方面。
4. 涉及哪些電子商務的安全問題原因和解決辦法
電子商務活動中存在著很多安全問題,安全問題已成為電子商務成功與否的關鍵。要保證電子商務的正常發展,必須高度重視電子商務安全問題,應從技術、管理、法制等多方面健全電子商務安全保障體系,讓電子商務安全地發展起來。
5. 電子商務的安全問題有那些啊
網站?還是什麼?網站沒事更新日誌 查看記錄 看看服務里有沒有可疑的文件.
6. 電子商務存在什麼安全問題
電子商務的安全問題主要有以下幾點: 1.交易信息內容被篡改 從貿易活動角度上看,交易信息是商務活動中進行貿易活動所形成的一種信息,包括了客戶訂單信息、訂單確認信息、客戶個人信息等。這些信息具有一定機密性,在信息傳遞過程中利用Internet或電話網對這些交易信息進行篡改或截獲與惡意破壞。 2.電子支付信息盜取 電子支付信息是在商務活動中進行一種支付方式。支付信息包括客戶銀行賬戶、密碼、個人銀行識別碼等信息。這些信息具有絕對機密性,防止非法者盜用信息,偽造假身份進入系統,利用這些信息進行非法活動,是電子商務活動中必須要解決的問題。 3.系統漏洞 非法者藉助電子商務系統存在的漏洞進行進入系統,對系統中的數據進行篡改,取消用戶訂單信息,生成虛假信息等方式。 二、引起電子商務信息不安全的主要因素 電子商務是建立在互聯網應用平台上一種商務活動,它在為電子商務提供網路技術保證的同時,也是引起電子商務信息不安全的主要因素,產生這些不安全的主要因素包括: 1.互聯網的開發性和共享性 由於電子商務是建立互聯網技術平台上的一種商務活動,它繼承了互聯網的開放性和共享性,打破地域之間的界限
7. 電子商務所面臨的安全問題有哪些
電子商務簡單的說就是利用Internet進行的交易活動,電子商務:"電子"+"商務",從電子商務的定義可以了解電子商務的安全也就相應的分為兩個方面的安全:一方面是"電子"方面的安全,就是電子商務的開展必須利用Internet來進行,而Internet本身也屬於計算機網路,所以電子商務的第一個方面的安全就是計算機網路的安全,它包括計算機網路硬體的安全與計算機網路軟體的安全,計算機網路存在著很多安全威脅,也就給電子商務帶來了安全威脅;另一方面是"商務"方面的安全,是把傳統的商務活動在Internet上開展時,由干Internet存著很多安全隱患給電子商務帶來了安全威脅,簡稱為"商務交易安全威脅"。這兩個方面的安全威脅也就給電子商務帶來了很多安全問題:
(一)計算機網路安全威脅
電子商務包含"三流":信息流、資金流、物流,"三流"中以信息流為核心為最重要,電子商務正是通過信息流為帶動資金流、物流的完成。電子商務跟傳統商務的最重要的區別就是以計算機網路來傳遞信息,促進信息流的完成。計算機網路的安全必將影響電子商務中的"信息流"的傳遞,勢必影響電子商務的開展。計算機網路存在以下安全威脅:
1、黑客攻擊
黑客攻擊是指黑客非法進入網路,非法使用網路資源。隨著互聯網的發展,黑客攻擊也是經常發生,防不勝防,黑客利用網上的任何漏洞和缺陷修改網頁、非法進入主機、竊取信息等進行相關危害活動。2003年,僅美國國防部的"五角大樓"就受到了了230萬次對其網路的嘗試性攻擊。從這里可以看出,目前黑客攻擊已成為了電子商務中計算機網路的重要安全威脅。
2、計算機病毒的攻擊
病毒是能夠破壞計算機系統正常進行,具有傳染性的一段程序。隨著互聯網的發展,病毒利用互聯網,使得病毒的傳播速度大大加快,它侵入網路,破壞資源,成為了電子商務中計算機網路的又一重要安全威脅。
3、拒絕服務攻擊
拒絕服務攻擊(DoS)是一種破壞性的攻擊,它是一個用戶採用某種手段故意佔用大量的網路資源,使系統沒有剩餘資源為其他用戶提供服務的攻擊。目前具有代表性的拒絕服務攻擊手段包括SYNflood、ICMPflood、UDPflood等。隨著互聯網的發展,拒絕服務攻擊成為了網路安全中的重要威脅。
(二)商務交易安全威脅
把傳統的商務活動在Internet上進行,由於Internet本身的特點,存在著很多安全威脅,給電子商務帶來了安全問題。Internet的產生源於計算機資源共享的需求,具有很好的開放性,但正是由子它的開放性,使它產生了更嚴重的安全問題。Internet存在以下安全隱患:
1、開放性
開放性和資源共享是Internet最大的特點,但它的問題卻不容忽視的。正是這種開放性給電子商務帶來了安全威脅。
2、缺乏安全機制的傳輸協議
TCP/IP協議是建立在可信的環境之下,缺乏相應的安全機制,這種基於地址的協議本身就會泄露口令,根本沒有考慮安全問題;TCP/IP協議是完全公開的,其遠程訪問的功能使許多攻擊者無須到現場就能夠得手,連接的主機基於互相信任的原則等這些性質使網路更加不安全。
3、軟體系統的漏洞
隨著軟體系統規模的不斷增大,系統中的安全漏洞或"後門"也不可避免的存在。如cookie程序、JAVA應用程序、IE瀏覽器等這些軟體與程序都有可能給我們開展電子商務帶來安全威脅。
4、信息電子化
電子化信息的固有弱點就是缺乏可信度,電子信息是否正確完整是很難由信息本身鑒別的,而且在Internet傳遞電子信息,存在著難以確認信息的發出者以及信息是否被正確無誤地傳遞給接收方的問題。
(三)計算機網路安全威脅與商務交易安全威脅給電子商務帶來的安全問題
1、信息泄露
在電子商務中表現為商業機密的泄露,以上計算機網路安全威脅與Internet的安全隱患可能使得電子商務中的信息泄漏,主要包括兩個方面:(1)交易一方進行交易的內容被第三方竊取。(2)交易一方提供給另一方使用的文件第三方非法使用。
2、篡改
正是由於以上計算機網路安全威脅與Internet的安全隱患,電子的交易信息在網路上傳輸的過程中,可能被他人非法地修改、刪除或重放(指只能使用一次的信息被多次使用),這樣就使信息失去了真實性和完整性。
3、身份識別
正是由於電子商務交易中交易兩方通過網路來完成交易,雙方互不見面、互不認識,計算機網路的安全威脅與Internet的安全隱患,也可能使得電子商務交易中出現身交易身份偽造的問題。
4、信息破壞
計算機網路本身容易遭到一些惡意程序的破壞,如計算機病毒、特洛伊木馬程序、邏輯炸彈等,導致電子商務中的信息在傳遞過程被破壞。
5、破壞信息的有效性
電子商務中的交易過程中是以電子化的信息代替紙面信息,這些信息我們也必須保證它的時間的有效與本身信息的有效,必須能確認該信息確是由交易一方簽發的,計算機網路安全威脅與Internet的安全隱患,使得我們很難保證電子商務中的信息有效性。
6、泄露個人隱私
隱私權是參與電子商務的個人非常關心的一個問題。參與到電子商務中的個人就必須提供個人信息,計算機網路安全威脅與Internet的安全隱患有可能導致個人信息泄露,破壞到個人隱私。
8. 電子商務所面臨著哪些安全問題
現在隨著科技的發展,互聯網的時代越來越快,網路的交易模式正慢慢的擴大。對我們來說傳統的交易模式就是那種面對面的交易,讓人很容易建立信任的關心,能夠保證交易過程中的一切安全性,這一種模式是放心型的,但感覺就是沒有網路上的方便快捷,因為這一切的交易都是要求實地的,特別是對已與女孩子很喜歡購物逛街的話,如果全是依照這種傳統的模式會感覺很累,累了的這種感覺就會影響購買的行為。而對於電子商務在網路中進行的交易那很方便很簡單很節約時間,就算你很忙,可當你需要買東西沒法走開的時候,網上購物只需短短的十幾分鍾就可以搞定,而且它的服務面廣闊,沒有地域性無論你身處在何地,在網上看到自己喜歡的東西時就可以很迅速的下單。 雖然現在很多人都喜歡在網上購物,特別是深受宅男宅女喜歡,但是網購對於傳統的交易模式來說存在的風險很多,在這里就總結一下所存在的風險有哪些?1.信息的泄露:就是在交易過程中,信息交易內容被第三方竊取 ,或電子商務中的商業信息的泄露。這樣會為很多盜騙者提供一個機會。2.是信息的篡改:這主要指商務信息在網路傳輸的過程中被第三方獲悉進行非法篡改,或者黑客非法入侵整個電子商務系統,對電子商務信息的非法篡改,從而讓一些商務信息失去了真實性和完整性。也會影響到顧客對此的信譽度。3.信息的破壞:這主要從2個因素來講一是非人為的,就是網路硬體和軟體等計算機系統出現故障,導致一些商務信息的丟失和出生錯誤,另一個是人為的因素,不如計算機病毒,黑客等的攻擊。4.抵賴行為:這主要是比如我們在網上進行交易的過程中,如果雙方中的一方感覺到了有對自己不利時就會可能導致抵賴,從而給另一方帶來損失。這一類在傳統的交易中很少發生。 從上述電子商務網上交易所面臨的一些不安全因素中,我們可以有一些預防措:比如我們在電子商務中進行交易時就需要信息的保密性、還有完整性、不可否認性、身份的真實性和訪問可控性。對於信息的保密性我們可以採取(對稱加密演算法和非對稱加密演算法)、信息的完整性我們可以採取(數字摘要的方法)、信息的不可否認性可以採取(數字簽名方法)、身份真實性可採取(身份認證、數字證書)、訪問的可控性可採取(專用網路、防火牆、包過濾路由器等 )經過這一切措施,可以是電子商務體系在商務交易的活動中可以更好地保護消費者權益,也是交易活動有了一個良好、安全的環境。
9. 電子商務面臨哪些安全問題
支付安全,用戶隱私,系統安全,系統漏洞,像前段支付寶就出現過被迫捐款事件,就是影響到一些人的電子商務安全問題。
10. 電子商務面臨哪些安全問題
現在隨著科技的發展,互聯網的時代越來越快,網路的交易模式正慢慢的擴大。對我們來說傳統的交易模式就是那種面對面的交易,讓人很容易建立信任的關心,能夠保證交易過程中的一切安全性,這一種模式是放心型的,但感覺就是沒有網路上的方便快捷,因為這一切的交易都是要求實地的,特別是對已與女孩子很喜歡購物逛街的話,如果全是依照這種傳統的模式會感覺很累,累了的這種感覺就會影響購買的行為。而對於電子商務在網路中進行的交易那很方便很簡單很節約時間,就算你很忙,可當你需要買東西沒法走開的時候,網上購物只需短短的十幾分鍾就可以搞定,而且它的服務面廣闊,沒有地域性無論你身處在何地,在網上看到自己喜歡的東西時就可以很迅速的下單。
雖然現在很多人都喜歡在網上購物,特別是深受宅男宅女喜歡,但是網購對於傳統的交易模式來說存在的風險很多,在這里就總結一下所存在的風險有哪些?1.信息的泄露:就是在交易過程中,信息交易內容被第三方竊取 ,或電子商務中的商業信息的泄露。這樣會為很多盜騙者提供一個機會。2.是信息的篡改:這主要指商務信息在網路傳輸的過程中被第三方獲悉進行非法篡改,或者黑客非法入侵整個電子商務系統,對電子商務信息的非法篡改,從而讓一些商務信息失去了真實性和完整性。也會影響到顧客對此的信譽度。3.信息的破壞:這主要從2個因素來講一是非人為的,就是網路硬體和軟體等計算機系統出現故障,導致一些商務信息的丟失和出生錯誤,另一個是人為的因素,不如計算機病毒,黑客等的攻擊。4.抵賴行為:這主要是比如我們在網上進行交易的過程中,如果雙方中的一方感覺到了有對自己不利時就會可能導致抵賴,從而給另一方帶來損失。這一類在傳統的交易中很少發生。
從上述電子商務網上交易所面臨的一些不安全因素中,我們可以有一些預防措:比如我們在電子商務中進行交易時就需要信息的保密性、還有完整性、不可否認性、身份的真實性和訪問可控性。對於信息的保密性我們可以採取(對稱加密演算法和非對稱加密演算法)、信息的完整性我們可以採取(數字摘要的方法)、信息的不可否認性可以採取(數字簽名方法)、身份真實性可採取(身份認證、數字證書)、訪問的可控性可採取(專用網路、防火牆、包過濾路由器等 )經過這一切措施,可以是電子商務體系在商務交易的活動中可以更好地保護消費者權益,也是交易活動有了一個良好、安全的環境。
黑蜘蛛www.bsicms.com電子商務為您解答