電子商務(wù)網(wǎng)站設(shè)計(jì)信息安全防御研究
前言:本站為你精心整理了電子商務(wù)網(wǎng)站設(shè)計(jì)信息安全防御研究范文,希望能為你的創(chuàng)作提供參考價(jià)值,我們的客服老師可以幫助你提供個(gè)性化的參考范文,歡迎咨詢。
1信息安全面臨的威脅
1.1平臺威脅
電子商務(wù)是一種有別于傳統(tǒng)交易,依托網(wǎng)絡(luò)平臺來開展的新興交易方式,信息傳遞過程中影響信息傳播速度的因素很多,包括電磁輻射干擾和網(wǎng)絡(luò)設(shè)備老化,情況嚴(yán)重時(shí)會威脅到交易雙方的信息安全。除了網(wǎng)絡(luò)設(shè)備的物理干擾和破壞外,一己私利造成的人為商務(wù)系統(tǒng)硬件破壞更為嚴(yán)重,他們有意更改信息內(nèi)容,通過這種不法手段獲取經(jīng)濟(jì)利益。
1.2安全環(huán)境惡化
發(fā)達(dá)國家經(jīng)過多年的發(fā)展,技術(shù)水平遠(yuǎn)遠(yuǎn)領(lǐng)先于我國,尤其是在計(jì)算機(jī)軟硬件技術(shù)及網(wǎng)絡(luò)安全技術(shù)方面。我國硬件核心設(shè)備的研發(fā)能力不足,核心技術(shù)還未取得突破性進(jìn)展,不得不依靠進(jìn)口采購。在無法獨(dú)立自主生產(chǎn)的情況下,必須依靠國外引進(jìn),生產(chǎn)技術(shù)和維護(hù)技術(shù)受到極大的限制,極大影響了我國電子商務(wù)的健康發(fā)展。
1.3黑客入侵
一些不法分子面對電子商務(wù)交易的蓬勃發(fā)展,勢必會產(chǎn)生不勞而獲的貪婪心理,利用網(wǎng)絡(luò)安全漏洞來攻擊電子商務(wù)網(wǎng)站平臺。當(dāng)前網(wǎng)絡(luò)黑客侵入方式使用最普遍的是木馬程序,通過木馬程序侵入本地計(jì)算機(jī),使得計(jì)算機(jī)記錄的登錄信息遭到篡改或泄露,導(dǎo)致重要文件及資金丟失。網(wǎng)絡(luò)病毒不可控性很強(qiáng),其自身繁殖功能十分強(qiáng)大,嚴(yán)重?fù)p壞計(jì)算機(jī)文件,還會對計(jì)算機(jī)的硬件設(shè)施造成嚴(yán)重破壞,且網(wǎng)絡(luò)技術(shù)的迅速發(fā)展,使計(jì)算機(jī)病毒的破壞力也隨之增強(qiáng)。
1.4網(wǎng)上支付安全隱患
網(wǎng)上支付是電子商務(wù)的核心部分,確保支付安全才能保障電子商務(wù)的健康發(fā)展,因此,網(wǎng)上支付的規(guī)范性、安全性、便捷性及高效性一定程度上決定了電子商務(wù)的發(fā)展?jié)摿Α碾娮由虅?wù)開展的實(shí)際支付結(jié)構(gòu)可知,商務(wù)系統(tǒng)平臺、安全認(rèn)證系統(tǒng)、電子支付網(wǎng)關(guān)和電子錢包等四個(gè)條件必不可少。而安全認(rèn)證系統(tǒng)是整個(gè)電子商務(wù)順利開展的重要前提,理由如下:首先,網(wǎng)絡(luò)在實(shí)際運(yùn)行中靈活性較強(qiáng),當(dāng)前的多種技術(shù)手段無法完全應(yīng)對網(wǎng)絡(luò)安全威脅,仍存在較大的問題。其次,雖然各家銀行先后建立了CA認(rèn)證中心,但這些CA認(rèn)證中心的權(quán)威性不足,無法成為全國性的認(rèn)證標(biāo)準(zhǔn),造成重復(fù)認(rèn)證和資源浪費(fèi)。最后,新《合同法》雖然納入電子合同的法律效用條款,但數(shù)字簽名仍存在技術(shù)問題,這導(dǎo)致問題出現(xiàn)后的一些復(fù)雜法律關(guān)系難以解決,如責(zé)任認(rèn)定、責(zé)任承擔(dān)、有效執(zhí)行仲裁結(jié)果等。
2常見信息安全漏洞防御
2.1結(jié)構(gòu)性查詢語言注入
這是一種用于存取信息數(shù)據(jù)的數(shù)據(jù)庫系統(tǒng),其作用是方便管理人員進(jìn)行網(wǎng)絡(luò)管理和用戶查詢。結(jié)構(gòu)性查詢語言簡稱為SQL,從本質(zhì)上來說是一種程序設(shè)計(jì)的、高級的非過程化編程語言,其作用是作為客戶端與數(shù)據(jù)庫服務(wù)器相互溝通的橋梁。因此,SQL是網(wǎng)站設(shè)計(jì)中安全防御的重點(diǎn)包括以下內(nèi)容。
2.1.1經(jīng)典的‘or1=1’注入
作為計(jì)算機(jī)最經(jīng)典的結(jié)構(gòu)性查詢語言,該注入方式一般不需要用戶名進(jìn)行驗(yàn)證,密碼方面也沒有多層輸入的要求,故身份登錄并不會受到用戶名的限制。因此,該注入方式在編寫驗(yàn)證程序時(shí),通過程序設(shè)計(jì)使得用戶名輸入時(shí)無需驗(yàn)證,避開非預(yù)期字符串的限制,然后將信息直接傳遞給mysql-query()函數(shù)執(zhí)行。這種注入方式跳過了驗(yàn)證環(huán)節(jié),驗(yàn)證碼正確與否都不干涉用戶名登錄。因此,從信息安全防御角度出發(fā),登錄確認(rèn)工作是網(wǎng)站設(shè)計(jì)的重中之重,注意嚴(yán)密防范非法用戶登錄。
2.1.2利用union語句的注入
Union語句注入的作用機(jī)理是,網(wǎng)站設(shè)計(jì)中注入union會使網(wǎng)站程序默認(rèn)的語句出錯,網(wǎng)站運(yùn)行速度受限,或者網(wǎng)頁直接打不開,嚴(yán)重時(shí)還會引起網(wǎng)站崩潰。結(jié)構(gòu)性查詢語言從理論上來說注入方式較多,從根源上防御各種注入方式才是關(guān)鍵。作為計(jì)算機(jī)工作者,日常網(wǎng)絡(luò)維護(hù)要認(rèn)真嚴(yán)謹(jǐn),細(xì)心對查詢語句的參數(shù)進(jìn)行過濾,遇到可疑情況及時(shí)排查。
2.2跨站腳本攻擊的防范
跨站腳本攻擊,英文全稱為CrossSiteScripting。該腳本通過將惡意代碼植入到用戶的網(wǎng)站頁面,讓用戶登錄與實(shí)際網(wǎng)站完全不同的虛假網(wǎng)站。該腳本主要是將JavaScript腳本注入到HTML標(biāo)簽中進(jìn)行攻擊,是一種頻繁引發(fā)網(wǎng)站設(shè)計(jì)安全威脅的重要因素。
2.2.1跨站腳本攻擊的探測
跨站腳本攻擊是可以及時(shí)檢測到的,有助于盡早發(fā)現(xiàn)網(wǎng)站設(shè)計(jì)過程中的問題,語句檢測是判斷跨站腳本攻擊的重要依據(jù)。如在輸入框中輸入語句找到其執(zhí)行的地方,如果發(fā)現(xiàn)有彈窗就證明有跨站腳本對軟件進(jìn)行攻擊。以網(wǎng)站的評論為例,在網(wǎng)站評論頁面的輸入框中寫入相關(guān)代碼,完成后進(jìn)行刷新,若發(fā)現(xiàn)瀏覽器的彈出窗口沒有得到禁止,基本可以判斷該網(wǎng)站設(shè)計(jì)的評論模塊有跨站腳本攻擊過。
2.2.2重新定向
一旦發(fā)在網(wǎng)站設(shè)計(jì)過程中存在跨站腳本攻擊的某些漏洞,那么黑客就有多種方式攻擊網(wǎng)站。如可以通過跨站腳本攻擊重新定位新的攻擊網(wǎng)頁,實(shí)現(xiàn)刷目標(biāo)網(wǎng)站流量的目的。舉一個(gè)簡單的例子,用戶A發(fā)了一個(gè)容易構(gòu)造的URL給用戶B,當(dāng)用戶B打開后,惡意腳本開始攻擊用戶B的電腦,可以執(zhí)行前一個(gè)用戶A權(quán)限下的所有命令。
2.2.3攻擊彈出其他網(wǎng)頁
大部分網(wǎng)民瀏覽網(wǎng)頁時(shí)都碰到過廣告彈窗的情況,這是電腦黑客通過跨站腳本攻擊的方式,實(shí)現(xiàn)攻擊計(jì)算機(jī)用戶正在瀏覽網(wǎng)頁的目的,從而讓用戶瀏覽其他網(wǎng)頁。針對跨站腳本這種攻擊方式,通常采用特征匹配來進(jìn)行針對性防御,同時(shí)加強(qiáng)認(rèn)證工作,最大限度避免跨站腳本攻擊的發(fā)生。
3結(jié)語
一個(gè)安全的電子商務(wù)網(wǎng)站平臺是電子商務(wù)交易健康發(fā)展的重要前提,必須在網(wǎng)站設(shè)計(jì)過程中增強(qiáng)信息安全防御,有效保障交易雙方的信息安全和財(cái)產(chǎn)安全。這要求網(wǎng)站設(shè)計(jì)師從網(wǎng)站操作的各環(huán)節(jié)出發(fā)去評估安全漏洞,提高信息安全防御性能,盡量減少黑客和病毒的侵入,確保電子商務(wù)網(wǎng)站的安全運(yùn)行。
作者:黃峻峰 單位:咸寧職業(yè)技術(shù)學(xué)院信息工程學(xué)院
