电子商务网站建设面临的信息安全威胁及对策发布者:本站 时间:2020-05-05 13:05:02
自计算机诞生以来,计算机的软硬件技术不断更新换代,尤其是新世纪以来,网络信息技术进入了飞速发展的时代,从根本上改变了人们的交易方式和日常生活方式。电子商务网站在 Web 技术的支持下发展迅速,由当初功能单一、界面单调的状态发展到了今天功能齐全、操作简单的状态。电子商务网站在长期的运行过程中,网络系统难免存在一些安全漏洞,这给了不法分子可乘之机,导致交易双方的交易信息和个人资料泄露,电子商务网站难以保障正常运行秩序,这显然不利于电子商务的长远发展。解决网络系统及电子商务网站的安全漏洞问题,网络信息安全及其安全防御是关键所在。笔者根据多年从业经验,指出当前电子商务网站所面临的信息安全威胁,介绍网站设计过程中常用的、高效的网络安全技术,为电子商务网站设计提供一些信息安全防御的思路和策略,从技术层面提高电子商务网站的信息安全,从而有力保障交易双方的利益。
1 信息安全面临的威胁
1.1 平台威胁
电子商务是一种有别于传统交易,依托网络平台来开展的新兴交易方式,信息传递过程中影响信息传播速度的因素很多,包括电磁辐射干扰和网络设备老化,情况严重时会威胁到交易双方的信息安全。除了网络设备的物理干扰和破坏外,一己私利造成的人为商务系统硬件破坏更为严重,他们有意更改信息内容,通过这种不法手段获取经济利益。
1.2 安全环境恶化
发达国家经过多年的发展,技术水平远远领先于我国,尤其是在计算机软硬件技术及网络安全技术方面。我国硬件核心设备的研发能力不足,核心技术还未取得突破性进展,不得不依靠进口采购。在无法独立自主生产的情况下,必须依靠国外引进,生产技术和维护技术受到极大的限制,极大影响了我国电子商务的健康发展。
1.3 黑客入侵
一些不法分子面对电子商务交易的蓬勃发展,势必会产生不劳而获的贪婪心理,利用网络安全漏洞来攻击电子商务网站平台。当前网络黑客侵入方式使用最普遍的是木马程序,通过木马程序侵入本地计算机,使得计算机记录的登录信息遭到篡改或泄露,导致重要文件及资金丢失。网络病毒不可控性很强,其自身繁殖功能十分强大,严重损坏计算机文件,还会对计算机的硬件设施造成严重破坏,且网络技术的迅速发展,使计算机病毒的破坏力也随之增强。
1.4 网上支付安全隐患
网上支付是电子商务的核心部分,确保支付安全才能保障电子商务的健康发展,因此,网上支付的规范性、安全性、便捷性及高效性一定程度上决定了电子商务的发展潜力。从电子商务开展的实际支付结构可知,商务系统平台、安全认证系统、电子支付网关和电子钱包等四个条件必不可少。而安全认证系统是整个电子商务顺利开展的重要前提,理由如下:首先,网络在实际运行中灵活性较强,当前的多种技术手段无法完全应对网络安全威胁,仍存在较大的问题。其次,虽然各家银行先后建立了 CA 认证中心,但这些 CA 认证中心的权威性不足,无法成为全国性的认证标准,造成重复认证和资源浪费。最后,新《合同法》虽然纳入电子合同的法律效用条款,但数字签名仍存在技术问题,这导致问题出现后的一些复杂法律关系难以解决,如责任认定、责任承担、有效执行仲裁结果等。
2 常见信息安全漏洞防御
2.1 结构性查询语言注入
这是一种用于存取信息数据的数据库系统,其作用是方便管理人员进行网络管理和用户查询。结构性查询语言简称为 SQL,从本质上来说是一种程序设计的、高级的非过程化编程语言,其作用是作为客户端与数据库服务器相互沟通的桥梁。因此,SQL 是网站设计中安全防御的重点包括以下内容。
2.1.1 经典的‘or 1=1’注入
作为计算机最经典的结构性查询语言,该注入方式一般不需要用户名进行验证,密码方面也没有多层输入的要求,故身份登录并不会受到用户名的限制。因此,该注入方式在编写验证程序时,通过程序设计使得用户名输入时无需验证,避开非预期字符串的限制,然后将信息直接传递给 mysql-query() 函数执行。这种注入方式跳过了验证环节,验证码正确与否都不干涉用户名登录。因此,从信息安全防御角度出发,登录确认工作是网站设计的重中之重,注意严密防范非法用户登录。
2.1.2 利用 union 语句的注入
Union 语句注入的作用机理是,网站设计中注入union 会使网站程序默认的语句出错,网站运行速度受限,或者网页直接打不开,严重时还会引起网站崩溃。
结构性查询语言从理论上来说注入方式较多,从根源上防御各种注入方式才是关键。作为计算机工作者,日常网络维护要认真严谨,细心对查询语句的参数进行过滤,遇到可疑情况及时排查。
2.2 跨站脚本攻击的防范
跨站脚本攻击,英文全称为 Cross Site Scripting.该脚本通过将恶意代码植入到用户的网站页面,让用户登录与实际网站完全不同的虚假网站。该脚本主要是将Java Script 脚本注入到 HTML 标签中进行攻击,是一种频繁引发网站设计安全威胁的重要因素。
2.2.1 跨站脚本攻击的探测
跨站脚本攻击是可以及时检测到的,有助于尽早发现网站设计过程中的问题,语句检测是判断跨站脚本攻击的重要依据。如在输入框中输入语句找到其执行的地方,如果发现有弹窗就证明有跨站脚本对软件进行攻击。以网站的评论为例,在网站评论页面的输入框中写入相关代码,完成后进行刷新,若发现浏览器的弹出窗口没有得到禁止,基本可以判断该网站设计的评论模块有跨站脚本攻击过。
2.2.2 重新定向
一旦发在网站设计过程中存在跨站脚本攻击的某些漏洞,那么黑客就有多种方式攻击网站。如可以通过跨站脚本攻击重新定位新的攻击网页,实现刷目标网站流量的目的。举一个简单的例子,用户 A 发了一个容易构造的URL 给用户 B,当用户 B 打开后,恶意脚本开始攻击用户B 的电脑,可以执行前一个用户 A 权限下的所有命令。
2.2.3 攻击弹出其他网页
大部分网民浏览网页时都碰到过广告弹窗的情况,这是电脑黑客通过跨站脚本攻击的方式,实现攻击计算机用户正在浏览网页的目的,从而让用户浏览其他网页。针对跨站脚本这种攻击方式,通常采用特征匹配来进行针对性防御,同时加强认证工作,最大限度避免跨站脚本攻击的发生
选择我们,优质服务,不容错过
1. 优秀的网络资源,强大的网站优化技术,稳定的网站和速度保证
2. 15年上海网站建设经验,优秀的技术和设计水平,更放心
3. 全程省心服务,不必担心自己不懂网络,更省心。
------------------------------------------------------------
24小时联系电话:021-58370032