旅游电子商务有什么不安全地方
A. 我国旅游电子商务建设方面还存在哪些问题
3.1 网民及旅游企业、旅游网站方面的问题
(1) 网民绝对数不断提高,但购买力不足
根据中国互联网信息中心(CNNIC)2010年1月15日所做的第25次中国互联网络发展状况统计,截至2009年12月31日,中国网民总数为3.84亿,普及率达到28.9%,但10岁以下网民群体增至1.1.%,10-19岁网民群体为31.8%,20-29岁网民群体为28.6%,综合上面的数据,61.5%的用户年龄在30岁以下,这说明中国目前的网民整体消费能力不强,中低收入者占大多数,这些就决定了网民的购买力不足。
(2)国内旅游企业涉足旅游电子商务程度低
旅游企业的信息化主要是指全国8993家旅行社,10481家旅游饭店,2726个旅游景点的信息化。目前,拥有独立网站的旅行社还不到总数的2%,拥有独立网站的旅游酒店及旅游景点还不是各自总数的1%。并且多数旅游饭店、旅行社、旅游景点还只是通过建立自己的网页进行促销,由于省一级的旅游电子商务网络基本没有建立,所以在饭店、旅行社、景点和客户之间开展电子商务变无从谈起。
(3)国内具有完善功能的旅游企业服务的旅游网站数量少
目前全国有旅游网站近3700家,但真正能为企业提供全面电子商务服务的不多。
首先,目前国内互联网上专注做旅游电子商务的站点十分有限。虽然旅游企业纷纷涌向互联网,并求发展的新契机,但是多数旅游网站还只是简单地把网络视作介绍企业、景点和旅游线路的工具,没有认识到可以将企业的核心业务流程、CRM等延伸到互联网上,使产品和服务更贴近用户需求,以体现网络的巨大价值。特别是在线预订方面和个性化定制方面、问题 表现等尤为突出。
其次,目前中国旅游市场信息不对称、透明度低、旅游产品价格混乱,大多数旅游网所发布的旅游信息业只是一两家旅行社的线路信息,没能最大程度地发挥网络的作用。即无法锁定网民(顾客),也加大了搜索成本。由于网络经济的正反馈效应、需求方规模的不经济会加速互联网企业的衰弱。
3.2 旅游电子商务的配套设施不完善
(1) 中国信用消费和远程购物还很不发达,信用消费与中国传统的消费心理格格不入,持卡消费的人群比例较低。而远程购物也与我们习惯的一手交钱一手交货,银货两讫的交易方式大相庭径。在有关法律不健全的情形下,在线交易对双方都存在较大的道德风险。
(2)在旅游网站中,除了旅行社自建的旅游网站作为旅行社业务平台外,大多数旅游网站经营旅行社业务都是未经批准的。这其中的合法性存在问题。
(3)中国旅游产业链不畅,影响旅游行程和质量的因素较为复杂,旅游网站很难掌握旅游的相关部门。因此,目前旅游网站在线销售的旅游产品如果出现质量问题,一般都不比照传统旅行社进行赔偿,这些会令许多游客对网上的旅游产品“敬而远之”。
(4)电子支付手段不健全。缺乏网络银行提供的有效、安全的网上支付系统,电子商务系统则难以得到顺利的发展。
3.3 旅游电子商务专业人才不足
旅游电子商务在不断的发展,且其发展势头相当的强劲,但是相关方面的复合型人才存在相当大的缺口。
4. 基于我国旅游电子商务存在问题的对策
4.1 政府主导,完善宏观环境
政府主管部门应从多方面对旅电子商务的发展予以支持,完善旅游电子商务的软、 硬件环境和法律环境。
(1)中国旅游电子商务的发展有赖于通信技术的进步和上网成本的大幅度降低。
目前,中国大众旅游、全民旅游的出游率与居民电脑普及率的反差不断降低,但通信费用过高,带宽过窄也是制约旅游电子商务的一个重要因素。只有调低电信资费,真正的宽带高速接入,才可能有更多的人成为互联网的用户。
(2)国家应通过立法形式使旅游网站合法化。
国家可以通过立法要求旅游网站缴纳和旅行社一样多的保证金,对它们的业务进行必要的、规范化的行业监督,使旅游网站在此监督下合法化。
(3)各地应由当地政府旅游管理部门负责建成、完善当地权威性旅游综合信息网,从而有目的为营销提供良好平台。
4.2 引导和培养大众网上消费观念
电子商务离不了消费者的参与,消费者对它的认识在很大程度上影响着它的进程。美国的电子商务之所以发展较快,与它们现有的社会条件和消费方式有很大的关系,美国邮购和电话订购比较成熟,消费者习惯使用信用卡交易。中国恰恰缺乏这种环境,消费者习惯银货两讫的交易方式。因此, 政府和企业应当运用舆论工具,引导和培养人们的新观念,调动消费者广泛参与的积极性。
4.3 整合企业、旅行社、客服,共享信息资源
(1)我国旅游电子商务发展的最终受益者是旅游企业,所以旅游企业应该在电子商务中发挥主要推动作用。旅游企业应积极商务,建立自己内部的业务处理和管理信息系统,并与互联网高度融合,建设面向代理商的电子分销系统和面向旅游者的在线销售系统,创建、巩固和发展自己的品牌,从而实现规模化、网络化经营。
(2)注重个性化产品的开发。个性化服务最大的好处在与当公众的喜好都暴露无遗时,商家可以进行针对性促销,而客户也可以得到最满意的方案。这就需要全面地收集、提炼和整合不同消费者的需求特点,然后将这些信息加以细分,并提供相应的产品和服务,消费者可以自由选择旅游目的地、饭店、脚踏工具等等。
(3) 上网旅游者往往希望和其他旅游者加强信息交流。获得更多的信息。如果旅游网站能给网上顾客一个机会,使他们能够在网上交谈,互诉旅游的心得体会,网站就有可能获得宝贵的顾客资源。
4.4 与银行合作,解决网上支付及安全问题,重视人才培养
(1)目前,由于我国消费者传统的消费心理和当心网上支付的安全问题,网上支付问题仍然制约着我国旅游电子商务的发展。国内各大银行应尽早介入旅游电子商务,为旅游企业的网上营销提供信用担保。旅游企业也应积极与银行合作,借鉴发达国家的经验,普及信用卡、电子现金、电子支票等电子支付方式,使网上付款变得安全、方便、快捷、高效。使在线交易和在线支付统一,改变上网查询和预订、下网进行交易和结算的现状,以实现真正意义上的旅游电子商务。
(2) 培养复合型人才。由于旅游电子商务是旅游和电子商务的整合,所以,应加快具有电子商务和旅游知识的复合型人才的培养。只有这样,才能将电子商务的技术、功能和模式密切地与旅游行业的组织、管理、业务方式及其特点相联系,优化旅游电子商务的整体功能。旅游部门与旅游院校应顺应时代要求,着力培养商务型、技术型、战略型人才。
B. 移动电子商务有哪些不安全因素
移动商务环境中有许多新的攻击点,这些威胁的范围和特性随着应用及其运行环境的不同而千差万别,下面列举一些典型的威胁和挑战。
一)无线窃听
在移动通信网络中,所有的网络通信内容(如移动用户的通话信息、身份信息、位置信息、数据信息以及移动站与网络控制中心之间的信息等)都是通过无线信道传送的。而无线信道是一个开放性信道,任何拥有适当无线设备的人均可以通过窃听无线信道而获得上述信息。
(二)假冒攻击
在移动通信网络中,移动站(包括移动用户和移动终端)与网络控制中心以及其他移动站之间不存在任何固定的物理连接(如网络电缆),移动站必须通过无线信道传送其身份信息,以便网络控制中心以及其他移动站能够正确鉴别它的身份。由上述内容可知,无线信道中传送的任何信息都可能被窃听。当攻击者截获一个合法用户的身份信息时,他就可以利用这个身份信息来假冒该合法用户的身份入网,这就是所谓的身份假冒攻击。
(三)信息篡改
所谓信息篡改,是指主动攻击者对窃听到的信息进行修改(如删除或者替代部分或全部信息)之后再将信息传给原本的接收者。这种攻击的目的有两种:一种是攻击者恶意破坏合法用户的通信内容,阻止合法用户建立通信连接;另一种是攻击者将修改的消息传给接收者,企图欺骗接收者,使其相信该修改的消息是由一个合法用户传给的。
息篡改攻击在一些“存储一转发”型有线通信网络(如Internet)中是很常见的,而在一些无线通信网络如无线局域网中,两个无线站之间的信息传递可能需要其他无线站或网络中心的转发,这些“中转站”有可能篡改转发的消息。
对于移动通信网络,现场试验证明信息篡改攻击是可行的:当主动攻击者比移动用户更接近基站时,主动攻击者发射的信号功率要比移动用户的强很多倍,使得基站忽略移动用户发射的信号而只接收主动攻击者的信号。这样,主动攻击者就可以篡改移动用户的信号后再传给基地站。在移动通信网络中,信息篡改攻击对移动用户与基地站之间的信令传输构成很大威胁。
(四)重传攻击
所谓重传攻击,是指主动攻击者将窃听到的有效信息经过一段时间后再传给信息的接收者。攻击者的目的是利用曾经有效的信息在改变了的情形下达到同样的目的。例如,攻击者利用截获到的合法用户口令来获得网络控制中心的授权,从而访问网络资源。
C. 旅游电子商务对旅游者产生了哪些影响
旅游电子商务实际主要目的应该有2个,一个是在服务游客方面,提供给了游客方便快捷的购票方式,并同时提供了当地旅游的各方面咨询,包括攻略等,而且现阶段网络购票有一定的折扣。第二个是从战略层面来讲,电子商务是景区或是旅游企业的未来发展的核心,互联网本身是工作和生活的一部分,而且逐步占比越来越大。
D. 旅游电子商务对传统旅游业的影响有哪些
传统旅游业存在着以下的缺陷:
(1)观念较为落后
虽然互联网信息技术的不断发展让我国网民数量开始得以增加,但是,传统旅游行业依然没有认识到网络营销的重要性和必要性,网上预订、网上销售以及网上结算对于很多旅游企业而言都较为陌生,一些传统旅游企业对于网上宣传和网上促销效果缺乏一定的体验和认识。
(2)营销手段相对落后
传统旅游企业大都是中小型企业,并以传统旅游营销为主要发展模式,也就是通过电视、报纸、杂志媒介广告宣传的手段来对企业根据技术人员自身的意愿或者设想研制出现产品进行推广,但是,总体效果并不明显,有着较高的成本。
(3)支付方式和联系方式较为落后
传统旅游企业的商品交易很多依然是利用现金方式进行交易,游客随身携带很多现金,导致其便捷性和安全性受到影响;其次,传统旅游接待方式依然是电报、电话、传真进行联系,这些传统单一的联系方式不但需要耗费较长的时间,而且费用也相对较高。
旅游电子商务对传统旅游业的影响:
(1)更加满足旅游消费者的需求
旅游电子商务可以迅速整合各种资源,以电子信息传递的方式将旅游注意事项、路线指南、旅游产品、酒店预订、支付方式、等信息传达给消费者。将原来分散的利润点集中起来,促使其系统化、专业化。将银行(支付宝)、旅行社、旅游产品生产者、旅游者四者很好的结合起来,达到优势互补、互利共赢、方便快捷的局面。目前很多游客提出的旅游消费都朝着个性化、理性化方向发展。
(2)提供个性化旅游服务
旅游电子商务将分散的旅游景点、服务设施和旅游者在空间上有效的结合起来,将供给者能提供的与需求者所需要的整合起来,形成完善的服务体系,为散客以及小团体提供更加方便的个性化服务。根据国家旅游局相关数据统计来分析,国内旅游人数占总数的97%,将近有92%为散客,因此,散客市场相对较大,其对在线旅游服务也提出了较高的需求,他们的旅游目的除了观光之外,还追求一种自由、舒适、高回归的要求。
(3)对网络的利用
利用网络所具有的双向交流作用,就能够让游客在享受实惠、方便的同时,为其提供人性化以及个性化的旅游定制服务,从根本上满足大众游客逐渐变化的口味。
E. 旅游电子商务问题
我们也是这个题啊。。。。。。
F. 国内旅游电子商务的发展存在哪些问题
1、旅游资源整合不佳;
2、旅游服务整合不佳;
3、配套服务整合不佳;
4、信息系统整合不佳;
5、审计、评级、管控、监督不佳;
6、宣传、反馈、推广、营销不佳;
7、配套金融服务、保险资金、医疗救助等配套不佳;
8、人员配套、人员和机构管理、企业运营不佳。
上面那个人说的是细节问题,我说的是总体宏观问题,可惜我不是总理不是人大代表,管不了,谁帮我呼吁一下。
G. 自驾游对旅游电子商务的发展有什么影响
从短期看,自驾游分流了一部分旅游电子商务的业务,从长远看,自驾游也是旅游电子商务的一部分甚至是重要组成部分,通过合理引导积极策划,旅行社等实体企业的电子商务业务完全可以参与其中。
1、自驾游的人一般都会在网上查看目的地的旅游攻略,所以推进了旅游电子商务的社交化发展。
2、通过旅游社区进行自驾游产品推广,或者自己搭建旅游社区可以取得更好的效果。
3、传统旅行社有线下的优势,比如门票、住宿、线路、保险、导游,充分利用这些优势,组织主题化的自驾游活动,可以演变成o2o旅游电商的实践。
H. 旅游电子商务系统安全威胁类型是什么举例说明
安全威胁
1、信息截获及窃取
在没有加密措施或加密强度较弱的情况下,攻击者可以利用互联网、公共电话网、搭线、电池波辐射范围内安装截收装置等方法,在数据包通过的网关和路由器上截获数据,获取机密信息,也可以通过对信息流量和流向、通信频度和长度等参数进行分析,推断出需要的信息,例如银行帐号、密码及企业机密等信息。
2、信息篡改
当蓄意攻击者掌握了网络信息格式后,通过网络技术手段对网络中传输的报文进行欺骗、拦截和修改后发往目的地,这样就破坏了传输信息的完整性。这种方式主要表现为:篡改授权,使信息变成某个未经授权的人所取得;删除部分消息;修改消息中的部分信息,让接收方对接收的信息不能很好的识别或者接收到一个错误消息。
3、信息假冒
当攻击者掌握网络信息数据规律或解密商务信息以后,可以假冒合法用户或发送假冒信息来欺骗其他用户。主要表现为:伪造电子邮件;假冒他人身份。
4、交易抵赖
这种方式主要表现为:发送消息者否认发送过某些信息;接收消息者否认收到过某些信息;交易中下了订单但是不承认;接收到订单后由于某些原因而不承认本次交易。
比如可以实施的措施:
1、法律措施
在电子商务中,网络的虚拟性、流动性、隐匿性对交易安全及消费者权益保护提出了更多的挑战,因此制定相应的法律法规来约束互联网用户的行为是电子商务的基础。目前制定的有关法律法规有《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际互联网管理暂行规定》、《中华人民共和国计算机信息网络国际互联网络安全保护管理办法》、《电子签名法》等,它们直接约束了计算机安全和电子商务的安全。
2、管理措施
要保证电子商务的安全,行之有效的管理也是必不可少的。电子商务的安全管理是一项复杂的任务,包括了人事管理、密钥管理、软件管理、设备管理、场地管理等多个方面。
I. 旅游电子商务不完善体现在什么地方
1 网民及旅游企业、旅游网站方面的问题
(1) 网民绝对数不断提高,但购买力不足
根据中国互联网信息中心(CNNIC)2010年1月15日所做的第25次中国互联网络发展状况统计,截至2009年12月31日,中国网民总数为3.84亿,普及率达到28.9%,但10岁以下网民群体增至1.1.%,10-19岁网民群体为31.8%,20-29岁网民群体为28.6%,综合上面的数据,61.5%的用户年龄在30岁以下,这说明中国目前的网民整体消费能力不强,中低收入者占大多数,这些就决定了网民的购买力不足。
(2)国内旅游企业涉足旅游电子商务程度低
旅游企业的信息化主要是指全国8993家旅行社,10481家旅游饭店,2726个旅游景点的信息化。目前,拥有独立网站的旅行社还不到总数的2%,拥有独立网站的旅游酒店及旅游景点还不是各自总数的1%。并且多数旅游饭店、旅行社、旅游景点还只是通过建立自己的网页进行促销,由于省一级的旅游电子商务网络基本没有建立,所以在饭店、旅行社、景点和客户之间开展电子商务变无从谈起。
(3)国内具有完善功能的旅游企业服务的旅游网站数量少
目前全国有旅游网站近3700家,但真正能为企业提供全面电子商务服务的不多。
首先,目前国内互联网上专注做旅游电子商务的站点十分有限。虽然旅游企业纷纷涌向互联网,并求发展的新契机,但是多数旅游网站还只是简单地把网络视作介绍企业、景点和旅游线路的工具,没有认识到可以将企业的核心业务流程、CRM等延伸到互联网上,使产品和服务更贴近用户需求,以体现网络的巨大价值。特别是在线预订方面和个性化定制方面、问题表现等尤为突出。
其次,目前中国旅游市场信息不对称、透明度低、旅游产品价格混乱,大多数旅游网所发布的旅游信息业只是一两家旅行社的线路信息,没能最大程度地发挥网络的作用。即无法锁定网民(顾客),也加大了搜索成本。由于网络经济的正反馈效应、需求方规模的不经济会加速互联网企业的衰弱。
2 旅游电子商务的配套设施不完善
(1)中国信用消费和远程购物还很不发达,信用消费与中国传统的消费心理格格不入,持卡消费的人群比例较低。而远程购物也与我们习惯的一手交钱一手交货,银货两讫的交易方式大相庭径。在有关法律不健全的情形下,在线交易对双方都存在较大的道德风险。
(2)在旅游网站中,除了旅行社自建的旅游网站作为旅行社业务平台外,大多数旅游网站经营旅行社业务都是未经批准的。这其中的合法性存在问题。
(3)中国旅游产业链不畅,影响旅游行程和质量的因素较为复杂,旅游网站很难掌握旅游的相关部门。因此,目前旅游网站在线销售的旅游产品如果出现质量问题,一般都不比照传统旅行社进行赔偿,这些会令许多游客对网上的旅游产品“敬而远之”。
(4)电子支付手段不健全。缺乏网络银行提供的有效、安全的网上支付系统,电子商务系统则难以得到顺利的发展。
3 旅游电子商务专业人才不足
旅游电子商务在不断的发展,且其发展势头相当的强劲,但是相关方面的复合型人才存在相当大的缺口。
J. 电子商务安全隐患有哪些
恩,都对吧,应该就是这些了。以下是对目前国内电子商务站点普遍存在的几个严重的安全问题的一些分析。
1、 客户端数据的完整性和有效性检查
1.1、特殊字符的过滤
在 W3C 的 WWW Security FAQ 中关于CGI安全编程一节里列出了建议过滤的字符: &;`'\"|*?~<>^()[]{}$\n\r
这些字符由于在不同的系统或运行环境中会具有特殊意义,如变量定义/赋值/取值、非显示字符、运行外部程序等,而被列为危险字符。W3C组织强烈建议完全过滤这些特殊字符。但在许多编程语言、开发软件工具、数据库甚至操作系统中遗漏其中某些特殊字符的情况时常出现,从而导致出现带有普遍性的安全问题。1.1.1、CGI和Script编程语言的问题
在几种国内常见的WEB编程语言中,ASP和Cold Fusion 脚本语言对特殊字符的过滤机制不够完善,例如没有对单引号做任何处理等。Perl和php对特殊字符的过滤则较为严密,如忽略或加上“\”(取消特殊字符含义)处理。C语言编写的cgi程序对特殊字符的过滤完全依赖于程序员的知识和技术,因此也可能存在安全问题。
1.1.2、Microsoft ASP脚本
普遍存在的问题是程序员在编写ASP脚本时,缺少或没有对客户端输入的数据/变量进行严格的合法性分析。无意或有意输入的特殊字符可能由于其特殊含义改变了脚本程序,从而使脚本运行出错或执行非法操作。例如,当脚本程序需要进行数据库操作时,恶意用户可以利用嵌入特殊字符来突破脚本程序原先的限制。
因此,如果攻击者输入某些特定sql语句,可能造成数据库资料丢失/泄漏/甚至威胁整个站点的安全。比如攻击者可以任意创建或者删除表(如果可以猜测出已存在的表名),清除或者更改数据库数据。攻击者也可能通过执行一些储存过程函数,将sql语句的输出结果通过电子邮件发送给自己,或者执行系统命令。
1.1.3、PHP和Perl
虽然提供了加上”\”(取消特殊字符含义)处理的手段,但是处理一些数据库时依然可以被改写。(我们本地的测试证实了这情况。)请阅读下面关于数据库问题的分析。对于MySQL则没有问题,\'不会与前面的单引号封闭,而当作一个合法的字符处理。针对oracle和informix等数据库暂时未进行相关测试。
另外,对于PHP或者Perl语言,很多程序对于数字类型的输入变量,没有加单引号予以保护,攻击者就有可能在这种变量中加入额外的SQL语句,来攻击数据库或者获得非法控制权限。1.2、数据库问题
不同的数据库对安全机制的不同认识和实现方法,使它们的安全性也有所不同。最常见的问题是利用数据库对某些字符的不正确解释,改写被执行的SQL语句,从而非法获得访问权限。例如,Microsoft SQL Server和Sybase对 \'当作了两个不同字符,所以仅仅在程序中加上”\”仍然可能通过一些特殊手段改写 SQL语句突破数据库的安全防线。Microsoft SQL Server也将”—“作为注释符号,这个符号以后的SQL语句均被忽略,攻击者可能利用这个来屏蔽掉某些用来认证的SQL语句(例如口令验证),获得对合法用户帐号的控制权。MySQL则将\'作为一个可操作的正常字符,不存在利用\'改写的可能。其它数据库如Oracle、Informix和MiniSQL等也必须注意防止各种改写SQL语句的可能。(注:另外,迄今为止,各种数据库都或多或少地被发现存在不同程度上的安全漏洞。如Microsoft SQL拒绝服务漏洞,MySQL GRANT权限可改变任意用户口令的漏洞,MySQL 远程绕过口令限制的漏洞,MiniSQL远程缓冲区溢出漏洞,Oracle Web Listener 非授权访问漏洞,Oracle dbsnmp符号连接漏洞,Sybase PowerDynamo目录遍历漏洞,等等。由于数据库数据资料是电子商务网站的最重要部份,关系到电子商务网站的生死存亡,因此修补各种安全漏洞,保证数据库免受各种攻击,是绝对必要的!)
2、 Cookie或用户身份的常用认证问题
对于一个网站会员而言,经常存在需要一次注册,多次认证的问题,一般采用手段为cookie或input type=hidden来传递认证参数。这里面有几点隐患:
I. 所携带内容必须完整包含帐号密码,或类似的完整安全信息,如果只携带帐号信息或用某种权限标志来认证,极容易造成非法入侵,我们检测了一些电子商务网站,很多都有此类安全隐患。例如某站点中的会员更新页面中携带的认证信息是两个,用户名和Uid(均为明文传送)已知Uid对于每个会员是唯一的。由于我们只需要知道对方的帐号和Uid就可以更改对方信息(不需要知道密码!),只要攻击者知道Uid(攻击者可以通过暴力猜测的方法来得到Uid,有时候站点本身也会泄露用户的Uid,例如在论坛等处)那么,攻击者就可以通过遍历攻击完成对任意一个帐号的信息更改。
II. 必须所有需要权限操作的页面都必须执行认证判断的操作。如果任何一页没有进行这种认证判断,都有可能给攻击者以恶意入侵的机会。
III. 很多网站为了方便,将用户名以及口令信息储存在Cookie中,有的甚至以明文方式保存口令。如果攻击者可以访问到用户的主机,就可能通过保存的Cookie文件得到用户名和口令。
3、 大量数据查询导致拒绝服务
许多网站对用户输入内容的判断在前台,用JavaScript判断,如果用户绕过前台判断,就能对数据库进行全查询,如果数据库比较庞大,会耗费大量系统资源,如果同时进行大量的这种查询操作,就会有Denial of Service(DoS —— 拒绝服务)同样的效果。
解决方法:
1、客户端数据完整性和有效性检查的解决办法
根据目前国内电子商务网站普遍存在的安全问题,主要的原因是未对某些特殊字符——例如单引号(’)进行过滤,或过滤机制不够完善。因此较为根本的解决方法是加强过滤机制,对用户输入数据进行全面的检查。以对ASP + Microsoft SQL Server类型的网站危害比较大的单引号(’)为例。目前可以肯定的是仅仅通过加上”\”或双引号处理是不健全的,必须杜绝单引号在处理程序的SQL语句中出现。I. 对于从客户端接收的数据变量应该用"’"(单引号)来引用;
II. 对用户输入的所有数据进行合法性检查(尽可能放在后台校验),包括数据长度和数据内容,将其中的特殊意义字符替换或不予往下执行。例如,将"’"替换成"’’" (两个单引号)号或用双字节中文单引号替换;而对于数字型变量,要检查输入的数据是否全为数字。
III. 对象数据库不使用系统默认的dbo用户。并尽量减少新增用户的权限;以ASP为例,具体的实现可以通过函数Replace函数来实现,如:<%
username=Replace(trim(Request.Form(“username”)),”’”,”’”)
password=Replace(trim(Request.Form(“password”)) ,”’”,”’”)
%>
以上例子将变量username与password中的字符”’”(单引号)替换成双字节中文单引号。如希望用户能使用单字节单引号”’”,可参考使用如下函数:
<%
function CheckStr(str)
dim tstr,l,i,ch
l=len(str)
for i=1 to l
ch=mid(str,i,1)
if ch="’" then
tstr=tstr+"’"
end if
tstr=tstr+ch
next
CheckStr=tstr
end function
%>该函数将需要校验的数据中的单字节单引号后添加了"’",这样,送入SQL中的"’"就变成了"’’",当输出该字段数据时,该项内容中的"’’"输出为"’"。对于其他的CGI编程语言,可以参照上述方法的思路进行处理。2、 Cookie或用户身份的常用认证问题的解决办法
由于session (会话)机制主要由服务器控制,比利用cookie传递认证参数更为安全可靠,因此可使用session会话取代cookie认证。如果必须使用Cookie传递参数,必须将参数内容进行加密,并正确设置Cookie的有效时间。3、 大量数据查询导致拒绝服务的解决办法
为了安全起见,应该将可能导致出现这种拒绝服务攻击的Javascript移植到由服务器端执行,防止客户端向服务器提交过量的数据库操作。4、 若对本次安全公告有不明之处,请与我们联系获得进一步的帮助。
鉴于此漏洞的严重性,我们将向国内站点提供解决这个安全问题的免费技术支持