旅游电子商务有哪些安全问题
1. 电子商务安全问题有哪些
电子商务是一个计算机与人、商务信息组成的系统
2. 电子商务安全隐患有哪些
恩,都对吧,应该就是这些了。以下是对目前国内电子商务站点普遍存在的几个严重的安全问题的一些分析。
1、 客户端数据的完整性和有效性检查
1.1、特殊字符的过滤
在 W3C 的 WWW Security FAQ 中关于CGI安全编程一节里列出了建议过滤的字符: &;`'\"|*?~<>^()[]{}$\n\r
这些字符由于在不同的系统或运行环境中会具有特殊意义,如变量定义/赋值/取值、非显示字符、运行外部程序等,而被列为危险字符。W3C组织强烈建议完全过滤这些特殊字符。但在许多编程语言、开发软件工具、数据库甚至操作系统中遗漏其中某些特殊字符的情况时常出现,从而导致出现带有普遍性的安全问题。1.1.1、CGI和Script编程语言的问题
在几种国内常见的WEB编程语言中,ASP和Cold Fusion 脚本语言对特殊字符的过滤机制不够完善,例如没有对单引号做任何处理等。Perl和php对特殊字符的过滤则较为严密,如忽略或加上“\”(取消特殊字符含义)处理。C语言编写的cgi程序对特殊字符的过滤完全依赖于程序员的知识和技术,因此也可能存在安全问题。
1.1.2、Microsoft ASP脚本
普遍存在的问题是程序员在编写ASP脚本时,缺少或没有对客户端输入的数据/变量进行严格的合法性分析。无意或有意输入的特殊字符可能由于其特殊含义改变了脚本程序,从而使脚本运行出错或执行非法操作。例如,当脚本程序需要进行数据库操作时,恶意用户可以利用嵌入特殊字符来突破脚本程序原先的限制。
因此,如果攻击者输入某些特定sql语句,可能造成数据库资料丢失/泄漏/甚至威胁整个站点的安全。比如攻击者可以任意创建或者删除表(如果可以猜测出已存在的表名),清除或者更改数据库数据。攻击者也可能通过执行一些储存过程函数,将sql语句的输出结果通过电子邮件发送给自己,或者执行系统命令。
1.1.3、PHP和Perl
虽然提供了加上”\”(取消特殊字符含义)处理的手段,但是处理一些数据库时依然可以被改写。(我们本地的测试证实了这情况。)请阅读下面关于数据库问题的分析。对于MySQL则没有问题,\'不会与前面的单引号封闭,而当作一个合法的字符处理。针对oracle和informix等数据库暂时未进行相关测试。
另外,对于PHP或者Perl语言,很多程序对于数字类型的输入变量,没有加单引号予以保护,攻击者就有可能在这种变量中加入额外的SQL语句,来攻击数据库或者获得非法控制权限。1.2、数据库问题
不同的数据库对安全机制的不同认识和实现方法,使它们的安全性也有所不同。最常见的问题是利用数据库对某些字符的不正确解释,改写被执行的SQL语句,从而非法获得访问权限。例如,Microsoft SQL Server和Sybase对 \'当作了两个不同字符,所以仅仅在程序中加上”\”仍然可能通过一些特殊手段改写 SQL语句突破数据库的安全防线。Microsoft SQL Server也将”—“作为注释符号,这个符号以后的SQL语句均被忽略,攻击者可能利用这个来屏蔽掉某些用来认证的SQL语句(例如口令验证),获得对合法用户帐号的控制权。MySQL则将\'作为一个可操作的正常字符,不存在利用\'改写的可能。其它数据库如Oracle、Informix和MiniSQL等也必须注意防止各种改写SQL语句的可能。(注:另外,迄今为止,各种数据库都或多或少地被发现存在不同程度上的安全漏洞。如Microsoft SQL拒绝服务漏洞,MySQL GRANT权限可改变任意用户口令的漏洞,MySQL 远程绕过口令限制的漏洞,MiniSQL远程缓冲区溢出漏洞,Oracle Web Listener 非授权访问漏洞,Oracle dbsnmp符号连接漏洞,Sybase PowerDynamo目录遍历漏洞,等等。由于数据库数据资料是电子商务网站的最重要部份,关系到电子商务网站的生死存亡,因此修补各种安全漏洞,保证数据库免受各种攻击,是绝对必要的!)
2、 Cookie或用户身份的常用认证问题
对于一个网站会员而言,经常存在需要一次注册,多次认证的问题,一般采用手段为cookie或input type=hidden来传递认证参数。这里面有几点隐患:
I. 所携带内容必须完整包含帐号密码,或类似的完整安全信息,如果只携带帐号信息或用某种权限标志来认证,极容易造成非法入侵,我们检测了一些电子商务网站,很多都有此类安全隐患。例如某站点中的会员更新页面中携带的认证信息是两个,用户名和Uid(均为明文传送)已知Uid对于每个会员是唯一的。由于我们只需要知道对方的帐号和Uid就可以更改对方信息(不需要知道密码!),只要攻击者知道Uid(攻击者可以通过暴力猜测的方法来得到Uid,有时候站点本身也会泄露用户的Uid,例如在论坛等处)那么,攻击者就可以通过遍历攻击完成对任意一个帐号的信息更改。
II. 必须所有需要权限操作的页面都必须执行认证判断的操作。如果任何一页没有进行这种认证判断,都有可能给攻击者以恶意入侵的机会。
III. 很多网站为了方便,将用户名以及口令信息储存在Cookie中,有的甚至以明文方式保存口令。如果攻击者可以访问到用户的主机,就可能通过保存的Cookie文件得到用户名和口令。
3、 大量数据查询导致拒绝服务
许多网站对用户输入内容的判断在前台,用JavaScript判断,如果用户绕过前台判断,就能对数据库进行全查询,如果数据库比较庞大,会耗费大量系统资源,如果同时进行大量的这种查询操作,就会有Denial of Service(DoS —— 拒绝服务)同样的效果。
解决方法:
1、客户端数据完整性和有效性检查的解决办法
根据目前国内电子商务网站普遍存在的安全问题,主要的原因是未对某些特殊字符——例如单引号(’)进行过滤,或过滤机制不够完善。因此较为根本的解决方法是加强过滤机制,对用户输入数据进行全面的检查。以对ASP + Microsoft SQL Server类型的网站危害比较大的单引号(’)为例。目前可以肯定的是仅仅通过加上”\”或双引号处理是不健全的,必须杜绝单引号在处理程序的SQL语句中出现。I. 对于从客户端接收的数据变量应该用"’"(单引号)来引用;
II. 对用户输入的所有数据进行合法性检查(尽可能放在后台校验),包括数据长度和数据内容,将其中的特殊意义字符替换或不予往下执行。例如,将"’"替换成"’’" (两个单引号)号或用双字节中文单引号替换;而对于数字型变量,要检查输入的数据是否全为数字。
III. 对象数据库不使用系统默认的dbo用户。并尽量减少新增用户的权限;以ASP为例,具体的实现可以通过函数Replace函数来实现,如:<%
username=Replace(trim(Request.Form(“username”)),”’”,”’”)
password=Replace(trim(Request.Form(“password”)) ,”’”,”’”)
%>
以上例子将变量username与password中的字符”’”(单引号)替换成双字节中文单引号。如希望用户能使用单字节单引号”’”,可参考使用如下函数:
<%
function CheckStr(str)
dim tstr,l,i,ch
l=len(str)
for i=1 to l
ch=mid(str,i,1)
if ch="’" then
tstr=tstr+"’"
end if
tstr=tstr+ch
next
CheckStr=tstr
end function
%>该函数将需要校验的数据中的单字节单引号后添加了"’",这样,送入SQL中的"’"就变成了"’’",当输出该字段数据时,该项内容中的"’’"输出为"’"。对于其他的CGI编程语言,可以参照上述方法的思路进行处理。2、 Cookie或用户身份的常用认证问题的解决办法
由于session (会话)机制主要由服务器控制,比利用cookie传递认证参数更为安全可靠,因此可使用session会话取代cookie认证。如果必须使用Cookie传递参数,必须将参数内容进行加密,并正确设置Cookie的有效时间。3、 大量数据查询导致拒绝服务的解决办法
为了安全起见,应该将可能导致出现这种拒绝服务攻击的Javascript移植到由服务器端执行,防止客户端向服务器提交过量的数据库操作。4、 若对本次安全公告有不明之处,请与我们联系获得进一步的帮助。
鉴于此漏洞的严重性,我们将向国内站点提供解决这个安全问题的免费技术支持
3. 旅游电子商务系统安全威胁类型是什么举例说明
安全威胁
1、信息截获及窃取
在没有加密措施或加密强度较弱的情况下,攻击者可以利用互联网、公共电话网、搭线、电池波辐射范围内安装截收装置等方法,在数据包通过的网关和路由器上截获数据,获取机密信息,也可以通过对信息流量和流向、通信频度和长度等参数进行分析,推断出需要的信息,例如银行帐号、密码及企业机密等信息。
2、信息篡改
当蓄意攻击者掌握了网络信息格式后,通过网络技术手段对网络中传输的报文进行欺骗、拦截和修改后发往目的地,这样就破坏了传输信息的完整性。这种方式主要表现为:篡改授权,使信息变成某个未经授权的人所取得;删除部分消息;修改消息中的部分信息,让接收方对接收的信息不能很好的识别或者接收到一个错误消息。
3、信息假冒
当攻击者掌握网络信息数据规律或解密商务信息以后,可以假冒合法用户或发送假冒信息来欺骗其他用户。主要表现为:伪造电子邮件;假冒他人身份。
4、交易抵赖
这种方式主要表现为:发送消息者否认发送过某些信息;接收消息者否认收到过某些信息;交易中下了订单但是不承认;接收到订单后由于某些原因而不承认本次交易。
比如可以实施的措施:
1、法律措施
在电子商务中,网络的虚拟性、流动性、隐匿性对交易安全及消费者权益保护提出了更多的挑战,因此制定相应的法律法规来约束互联网用户的行为是电子商务的基础。目前制定的有关法律法规有《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际互联网管理暂行规定》、《中华人民共和国计算机信息网络国际互联网络安全保护管理办法》、《电子签名法》等,它们直接约束了计算机安全和电子商务的安全。
2、管理措施
要保证电子商务的安全,行之有效的管理也是必不可少的。电子商务的安全管理是一项复杂的任务,包括了人事管理、密钥管理、软件管理、设备管理、场地管理等多个方面。
4. 涉及哪些电子商务的安全问题原因和解决办法
电子商务活动中存在着很多安全问题,安全问题已成为电子商务成功与否的关键。要保证电子商务的正常发展,必须高度重视电子商务安全问题,应从技术、管理、法制等多方面健全电子商务安全保障体系,让电子商务安全地发展起来。
5. 电子商务的安全问题有那些啊
网站?还是什么?网站没事更新日志 查看记录 看看服务里有没有可疑的文件.
6. 电子商务存在什么安全问题
电子商务的安全问题主要有以下几点: 1.交易信息内容被篡改 从贸易活动角度上看,交易信息是商务活动中进行贸易活动所形成的一种信息,包括了客户订单信息、订单确认信息、客户个人信息等。这些信息具有一定机密性,在信息传递过程中利用Internet或电话网对这些交易信息进行篡改或截获与恶意破坏。 2.电子支付信息盗取 电子支付信息是在商务活动中进行一种支付方式。支付信息包括客户银行账户、密码、个人银行识别码等信息。这些信息具有绝对机密性,防止非法者盗用信息,伪造假身份进入系统,利用这些信息进行非法活动,是电子商务活动中必须要解决的问题。 3.系统漏洞 非法者借助电子商务系统存在的漏洞进行进入系统,对系统中的数据进行篡改,取消用户订单信息,生成虚假信息等方式。 二、引起电子商务信息不安全的主要因素 电子商务是建立在互联网应用平台上一种商务活动,它在为电子商务提供网络技术保证的同时,也是引起电子商务信息不安全的主要因素,产生这些不安全的主要因素包括: 1.互联网的开发性和共享性 由于电子商务是建立互联网技术平台上的一种商务活动,它继承了互联网的开放性和共享性,打破地域之间的界限
7. 电子商务所面临的安全问题有哪些
电子商务简单的说就是利用Internet进行的交易活动,电子商务:"电子"+"商务",从电子商务的定义可以了解电子商务的安全也就相应的分为两个方面的安全:一方面是"电子"方面的安全,就是电子商务的开展必须利用Internet来进行,而Internet本身也属于计算机网络,所以电子商务的第一个方面的安全就是计算机网络的安全,它包括计算机网络硬件的安全与计算机网络软件的安全,计算机网络存在着很多安全威胁,也就给电子商务带来了安全威胁;另一方面是"商务"方面的安全,是把传统的商务活动在Internet上开展时,由干Internet存着很多安全隐患给电子商务带来了安全威胁,简称为"商务交易安全威胁"。这两个方面的安全威胁也就给电子商务带来了很多安全问题:
(一)计算机网络安全威胁
电子商务包含"三流":信息流、资金流、物流,"三流"中以信息流为核心为最重要,电子商务正是通过信息流为带动资金流、物流的完成。电子商务跟传统商务的最重要的区别就是以计算机网络来传递信息,促进信息流的完成。计算机网络的安全必将影响电子商务中的"信息流"的传递,势必影响电子商务的开展。计算机网络存在以下安全威胁:
1、黑客攻击
黑客攻击是指黑客非法进入网络,非法使用网络资源。随着互联网的发展,黑客攻击也是经常发生,防不胜防,黑客利用网上的任何漏洞和缺陷修改网页、非法进入主机、窃取信息等进行相关危害活动。2003年,仅美国国防部的"五角大楼"就受到了了230万次对其网络的尝试性攻击。从这里可以看出,目前黑客攻击已成为了电子商务中计算机网络的重要安全威胁。
2、计算机病毒的攻击
病毒是能够破坏计算机系统正常进行,具有传染性的一段程序。随着互联网的发展,病毒利用互联网,使得病毒的传播速度大大加快,它侵入网络,破坏资源,成为了电子商务中计算机网络的又一重要安全威胁。
3、拒绝服务攻击
拒绝服务攻击(DoS)是一种破坏性的攻击,它是一个用户采用某种手段故意占用大量的网络资源,使系统没有剩余资源为其他用户提供服务的攻击。目前具有代表性的拒绝服务攻击手段包括SYNflood、ICMPflood、UDPflood等。随着互联网的发展,拒绝服务攻击成为了网络安全中的重要威胁。
(二)商务交易安全威胁
把传统的商务活动在Internet上进行,由于Internet本身的特点,存在着很多安全威胁,给电子商务带来了安全问题。Internet的产生源于计算机资源共享的需求,具有很好的开放性,但正是由子它的开放性,使它产生了更严重的安全问题。Internet存在以下安全隐患:
1、开放性
开放性和资源共享是Internet最大的特点,但它的问题却不容忽视的。正是这种开放性给电子商务带来了安全威胁。
2、缺乏安全机制的传输协议
TCP/IP协议是建立在可信的环境之下,缺乏相应的安全机制,这种基于地址的协议本身就会泄露口令,根本没有考虑安全问题;TCP/IP协议是完全公开的,其远程访问的功能使许多攻击者无须到现场就能够得手,连接的主机基于互相信任的原则等这些性质使网络更加不安全。
3、软件系统的漏洞
随着软件系统规模的不断增大,系统中的安全漏洞或"后门"也不可避免的存在。如cookie程序、JAVA应用程序、IE浏览器等这些软件与程序都有可能给我们开展电子商务带来安全威胁。
4、信息电子化
电子化信息的固有弱点就是缺乏可信度,电子信息是否正确完整是很难由信息本身鉴别的,而且在Internet传递电子信息,存在着难以确认信息的发出者以及信息是否被正确无误地传递给接收方的问题。
(三)计算机网络安全威胁与商务交易安全威胁给电子商务带来的安全问题
1、信息泄露
在电子商务中表现为商业机密的泄露,以上计算机网络安全威胁与Internet的安全隐患可能使得电子商务中的信息泄漏,主要包括两个方面:(1)交易一方进行交易的内容被第三方窃取。(2)交易一方提供给另一方使用的文件第三方非法使用。
2、篡改
正是由于以上计算机网络安全威胁与Internet的安全隐患,电子的交易信息在网络上传输的过程中,可能被他人非法地修改、删除或重放(指只能使用一次的信息被多次使用),这样就使信息失去了真实性和完整性。
3、身份识别
正是由于电子商务交易中交易两方通过网络来完成交易,双方互不见面、互不认识,计算机网络的安全威胁与Internet的安全隐患,也可能使得电子商务交易中出现身交易身份伪造的问题。
4、信息破坏
计算机网络本身容易遭到一些恶意程序的破坏,如计算机病毒、特洛伊木马程序、逻辑炸弹等,导致电子商务中的信息在传递过程被破坏。
5、破坏信息的有效性
电子商务中的交易过程中是以电子化的信息代替纸面信息,这些信息我们也必须保证它的时间的有效与本身信息的有效,必须能确认该信息确是由交易一方签发的,计算机网络安全威胁与Internet的安全隐患,使得我们很难保证电子商务中的信息有效性。
6、泄露个人隐私
隐私权是参与电子商务的个人非常关心的一个问题。参与到电子商务中的个人就必须提供个人信息,计算机网络安全威胁与Internet的安全隐患有可能导致个人信息泄露,破坏到个人隐私。
8. 电子商务所面临着哪些安全问题
现在随着科技的发展,互联网的时代越来越快,网络的交易模式正慢慢的扩大。对我们来说传统的交易模式就是那种面对面的交易,让人很容易建立信任的关心,能够保证交易过程中的一切安全性,这一种模式是放心型的,但感觉就是没有网络上的方便快捷,因为这一切的交易都是要求实地的,特别是对已与女孩子很喜欢购物逛街的话,如果全是依照这种传统的模式会感觉很累,累了的这种感觉就会影响购买的行为。而对于电子商务在网络中进行的交易那很方便很简单很节约时间,就算你很忙,可当你需要买东西没法走开的时候,网上购物只需短短的十几分钟就可以搞定,而且它的服务面广阔,没有地域性无论你身处在何地,在网上看到自己喜欢的东西时就可以很迅速的下单。 虽然现在很多人都喜欢在网上购物,特别是深受宅男宅女喜欢,但是网购对于传统的交易模式来说存在的风险很多,在这里就总结一下所存在的风险有哪些?1.信息的泄露:就是在交易过程中,信息交易内容被第三方窃取 ,或电子商务中的商业信息的泄露。这样会为很多盗骗者提供一个机会。2.是信息的篡改:这主要指商务信息在网络传输的过程中被第三方获悉进行非法篡改,或者黑客非法入侵整个电子商务系统,对电子商务信息的非法篡改,从而让一些商务信息失去了真实性和完整性。也会影响到顾客对此的信誉度。3.信息的破坏:这主要从2个因素来讲一是非人为的,就是网络硬件和软件等计算机系统出现故障,导致一些商务信息的丢失和出生错误,另一个是人为的因素,不如计算机病毒,黑客等的攻击。4.抵赖行为:这主要是比如我们在网上进行交易的过程中,如果双方中的一方感觉到了有对自己不利时就会可能导致抵赖,从而给另一方带来损失。这一类在传统的交易中很少发生。 从上述电子商务网上交易所面临的一些不安全因素中,我们可以有一些预防措:比如我们在电子商务中进行交易时就需要信息的保密性、还有完整性、不可否认性、身份的真实性和访问可控性。对于信息的保密性我们可以采取(对称加密算法和非对称加密算法)、信息的完整性我们可以采取(数字摘要的方法)、信息的不可否认性可以采取(数字签名方法)、身份真实性可采取(身份认证、数字证书)、访问的可控性可采取(专用网络、防火墙、包过滤路由器等 )经过这一切措施,可以是电子商务体系在商务交易的活动中可以更好地保护消费者权益,也是交易活动有了一个良好、安全的环境。
9. 电子商务面临哪些安全问题
支付安全,用户隐私,系统安全,系统漏洞,像前段支付宝就出现过被迫捐款事件,就是影响到一些人的电子商务安全问题。
10. 电子商务面临哪些安全问题
现在随着科技的发展,互联网的时代越来越快,网络的交易模式正慢慢的扩大。对我们来说传统的交易模式就是那种面对面的交易,让人很容易建立信任的关心,能够保证交易过程中的一切安全性,这一种模式是放心型的,但感觉就是没有网络上的方便快捷,因为这一切的交易都是要求实地的,特别是对已与女孩子很喜欢购物逛街的话,如果全是依照这种传统的模式会感觉很累,累了的这种感觉就会影响购买的行为。而对于电子商务在网络中进行的交易那很方便很简单很节约时间,就算你很忙,可当你需要买东西没法走开的时候,网上购物只需短短的十几分钟就可以搞定,而且它的服务面广阔,没有地域性无论你身处在何地,在网上看到自己喜欢的东西时就可以很迅速的下单。
虽然现在很多人都喜欢在网上购物,特别是深受宅男宅女喜欢,但是网购对于传统的交易模式来说存在的风险很多,在这里就总结一下所存在的风险有哪些?1.信息的泄露:就是在交易过程中,信息交易内容被第三方窃取 ,或电子商务中的商业信息的泄露。这样会为很多盗骗者提供一个机会。2.是信息的篡改:这主要指商务信息在网络传输的过程中被第三方获悉进行非法篡改,或者黑客非法入侵整个电子商务系统,对电子商务信息的非法篡改,从而让一些商务信息失去了真实性和完整性。也会影响到顾客对此的信誉度。3.信息的破坏:这主要从2个因素来讲一是非人为的,就是网络硬件和软件等计算机系统出现故障,导致一些商务信息的丢失和出生错误,另一个是人为的因素,不如计算机病毒,黑客等的攻击。4.抵赖行为:这主要是比如我们在网上进行交易的过程中,如果双方中的一方感觉到了有对自己不利时就会可能导致抵赖,从而给另一方带来损失。这一类在传统的交易中很少发生。
从上述电子商务网上交易所面临的一些不安全因素中,我们可以有一些预防措:比如我们在电子商务中进行交易时就需要信息的保密性、还有完整性、不可否认性、身份的真实性和访问可控性。对于信息的保密性我们可以采取(对称加密算法和非对称加密算法)、信息的完整性我们可以采取(数字摘要的方法)、信息的不可否认性可以采取(数字签名方法)、身份真实性可采取(身份认证、数字证书)、访问的可控性可采取(专用网络、防火墙、包过滤路由器等 )经过这一切措施,可以是电子商务体系在商务交易的活动中可以更好地保护消费者权益,也是交易活动有了一个良好、安全的环境。
黑蜘蛛www.bsicms.com电子商务为您解答