电子商务的安全问题研究文献综述全集文档.docx
《电子商务的安全问题研究文献综述全集文档.docx》由会员分享,可在线阅读,更多相关《电子商务的安全问题研究文献综述全集文档.docx(32页珍藏版)》请在冰豆网上搜索。
电子商务的安全问题研究文献综述全集文档
电子商务的安全问题研究文献综述
AnotherSpace
摘要:
互联网在商务领域应用越来越广泛,电子商务也起着重要的作用,而安全问题也随之出现。
国内学者对电子商务的安全问题进行了大量的研究,并取得了一定成果。
本文对电子商务中的电子邮件、网上交易、移动电子商务的安全等问题进行收集整理,并对应对策略进行梳理。
关键词:
电子商务;网络安全;网上交易;策略
1、前言
电子商务自兴起至今不过几十年,但它却以惊人的速度向前发展。
电子商务通过信息技术将企业、用户、供应商及其他商贸活动涉及的职能机构结合起来,完成了信息流、物流和资金流的转移[1]。
电子商务的前景一片光明,为人们日常生活提供了很大的方便,但同时也带来了安全问题。
电子商务的安全问题涉及多个方面。
例如人们日常使用的电子邮件、网络网站共享或免费资源的下载、网上交易等等,这些安全问题对人们生活工作造成了一定的影响,所以对电子商务进行安全防护是十分有必要的,在此我们应该了解一些防护措施来应对这些安全问题。
2、对电子商务中的电子邮件安全问题的研究
2.1电子邮件存在的问题
随着电子商务轰轰烈烈的开展,张洁[2]认为企业间通过电子邮件相互传送一些机密文件,而这些文件一旦被泄露,不仅会给企业造成直接的损失,也会影响到企业间的合作关系。
同时,她也认为电子邮件作为一种虚拟信息应用,其用户信息本身就不具备实名基础,因而邮件也不具备真正的法律效应。
河南公安高等专科学院徐向阳[3]的观点是:
电子邮件系统的发展面临机密泄露、信息欺骗、病毒侵扰、垃圾邮件等诸多安全问题的困扰。
2.2保证电子邮件安全的重要性
在电子邮件系统安全问题必要性研究下,徐向阳得出如下结论:
安全的电子邮件系统在企业信息化建设的深化中,将发挥巨大的推动作用,并获得更多的企业和政府机构用户,在企业信息化和电子商务中赢得可观的市场份额。
2.3电子邮件安全问题的预防措施
因为电子邮件存在着很多的安全隐患,付霄汉[4]给出了一些防范策略。
我们应该使用安全电子邮件、对电子邮件及其系统进行病毒防护、设置信箱过滤、公共场所电子邮件
安全防范。
3、对电子商务中网上交易的安全问题研究
3.1电子商务网上银行的安全性问题
在网上购物与网上支付快速发展的过程中,中央财经大学信息学院的白佳丽[5]概括得到:
网银的安全风险是多方面的,主要包括技术风险、业务风险、信用风险、法律风险等等。
3.2电子商务网络支付的安全问题研究
在网银盛行的潮流下,陕西理工学院计算机系的硕士杨刚[6]总结出:
我国现有网上支付方式主要有电子现金、信用卡、电子支票、智能卡、移动支付等。
他认为我国网上支付存在的亟待解决的问题仍是安全,其中包括假冒和恶意破坏、窃取和篡改信息;还有就是网络安全性知识普及不足。
3.3电子商务支付平台的安全风险研究
电子商务支付平台[7]是指平台提供商通过采用规范的连接器,在网上商家和银行之间建立起连接,从而实现消费者到金融机构、商家现金的在线货币支付、现金流转、资金清算、查询统计等问题。
王煜[8]指出,在开放的网络环境中,网络支付的风险有些来自于银行外部的黑客,也有些来自于银行内部工作人员。
有预谋的诈骗,也有无意的失误造成的危害,有系统遭受破坏的风险,也有交易过程中人为的损失造成的风险。
3.4电子商务网络交易安全管理的问题研究
网络交易安全存在社会的方方面面,在此李瑞歌[9]认为电子商务交易安全也是一个系统工程,一个完整的网络交易安全体系,至少应该包括三大类措施,并且三者缺一不可,一是技术方面的措施,而是管理方面的措施,三是社会的法律政策与法律保障。
3.5针对电子商务网络交易等方面提出的安全策略
从技术方面:
通过整理,东北电力大学经济管理学院的武慧娟和孙鸿飞[10]给出以下策略。
加密:
利用信息变化规则把明文信息变成密文信息。
数字签名:
数字签名机制提供了一种鉴别方法,以解决伪造、抵赖、冒充和篡改等安全问题。
鉴别:
目的在于验明用户或信息的正身。
访问控制:
目的在于防止非法访问。
防火墙:
基本功能在于过滤进出网络数据,管理进出网络访问行为,封堵某些禁止行为,记录通过防火墙的信息内容与活动,对网络攻击进行监测和告警。
4、对移动电子商务中的安全问题研究
4.1什么是移动电子商务
移动电子商务[11](M-Commerce)就是利用收集、PDA及掌上电脑等无线终端进行B2B、B2C或C2C的电子商务。
它将因特网、移动通信技术、短距离通信技术及其它技术完善的结合,使人们可以在任何时间、任何地点进行各种商贸活动,实现随时随地的线上线下购物与交易、在线电子支付以及各种交易、商务、金融活动和相关的综合服务活动等。
4.2移动电子商务存在的安全性问题
电子商务呈现出迅猛的发展势头,移动电子商务也开始兴起,同时安全问题也日益凸显。
戚飞[12]概括出:
移动电子商务安全面临着技术、管理和法律等几个方面的挑战,主要包括终端窃取和假冒、无线网的窃听、重传交易信息、中间人攻击、拒绝服务、交易抵赖、移动终端遗失、设备差异和设备的不安全等。
4.3移动电子商务安全问题的应对措施
因为存在如此多的安全问题,赵晨刚[13]提出如下看法:
在互联网上,既要保证电子商务的安全和保密,必须强化网上认证程序,完善电子支付系统和网上安全机制,还要保证电子商务的方便快捷和资源共享。
与此同时,对于我国移动电子商务的安全策略,董纪阳[14]总结出以下几点:
加强网络基础设施建设、加强安全技术的研究与应用、提高从业人员的技术水平和整体素质,提升企业的管理水平、加强法律法规建设、加强诚信建设。
闾燕[15]认为这方面的措施有:
一、采用消息摘要技术,即一种与消息认证码结合使用以确保消息完整性的技术。
二、使用加密技术。
三、身份认证技术:
通过口令技术、数字签名技术和数字证书技术来实现。
五、总结
电子商务的方便快捷让人们获益不少,同时也存在着诸多安全问题。
电子邮件的收发功能,虽然可以让人们更好地传递信息,方便交流。
企业间通过电子邮件能及时方便地掌握客户动态,但企业机密一旦被泄露,就会造成不可或计算的损失。
而我们日常使用电子邮件过程中,也会受到一些垃圾邮件,其中就有不可预知的安全隐患。
因此对电子邮件进行安全防护是很有必要的,企业间通过安全预防达到客观的收益,个人通过安全预防阻止非法、携带病毒的邮件。
网上交易功能,为人们生活娱乐提供了很大的便利,当人们通过网络进行交易时,就会出现一定的风险,其中有网上银行、支付宝等支付平台进行交易时,会带有一定的安全隐患。
这时就要求用户有强烈的安全意识,并采取相应的预防措施。
除国家政府要制定相关政策外,用户个人还要学会安全操作,例如加密处理、安装防火墙等。
移动电子商务随着电子商务发展而不断飞速前进,其面临的安全问题也是严峻的。
我们需要进行安全设置,与网上交易功能相似,国家个人方面都要做出相关的预防和应对策略。
我国电子商务发展广泛应用日常生活各个方面,对其安全问题的研究也不少,但对于如何彻底解决电子商务的安全问题还没有明确答案。
相关学术研究有必要抓住新的机遇,对如何加强电子商务的安全进行更为深入的研究,争取使我国电子商务的安全问题研究走在世界前列。
参考文献:
[1]姚帝晓.电子商务安全问题的思考[J].商场现代化,2006年7月(上旬刊).103.
[2]张洁.安全电子邮件“乌托邦”[J].电子商务世界,2006年11月.70-71.
[3]徐向阳.电子商务中电子邮件的安全问题研究[J].商场现代化,2007年5月(上旬刊).79-80.
[4]付霄汉.电子邮件的安全问题与防范措施[J].鞍山师范学院学报,2005年7月.94-95.
[5]白佳丽.网上银行支付系统安全风险评估[J].东方企业文化·公司与产业,2021年3月.87.
[6]杨刚.网上支付安全问题研究[J].鸡西大学学报,2021年9月.59-60.
[7]刘丹.电子商务支付平台的安全问题刍议[J].商业经济,2021年8月15日.56-57.
[8]王煜.电子商务中网络支付风险与防范的研究[J].经济师,2021年第10期.58-60.
[9]李瑞歌.浅谈电子商务过程中网络交易安全管理策略[J].科技资讯,2021年.50.
[10]武慧娟、孙鸿飞.论电子商务关键性安全问题及其对策[J].商场现代化,2021年9月.12.
[11]舒虹.移动电子商务安全问题及其应对策略[J].贵阳学院学报(自然科学版),2021年12月.44-47.
[12]戚飞.中国移动电子商务的现状、问题和对策[J].中国集体经济·经营之道,2021年4月.100-101.
[13]赵晨刚.我国移动电子商务发展中存在的问题与对策[J].黑龙江对外经贸,2021年第9期.53-54.
[14]董纪阳.移动商务的安全问题研究[J].中国管理信息化,2021年11月.77-79.
[15]闾燕.移动电子商务安全策略探析[J].高等函授学报(自然科学版),2021年10月.98-99.
11计科3班AnotherSpace
2021年11月26日
组名:
AnotherSpace
组长:
冯颖
成员:
冯颖张咪沈丹丹吴金平杨骏马
张约翰吴迪吴健彪吴益帆王溢达
浅析电子商务安全威胁与防范技术-
摘要
电子商务的发展已将全球的商务企业都推进到一场真的商业革命大潮中,潮起潮落,安全问题是关键。
电子商务系统是活动在Internet平台上的一个涉及信息、资金和物资交易的综合交易系统,其安全对象是一个开放的、人在其中频繁活动的、与社会系统紧密耦合的复杂系统,它是由商业组织本身(包括营销系统、支付系统、配送系统等)与信息技术系统复合构成的。
系统的安全目标与安全策略,是由组织的性质与需求所决定的。
随着电子信息技术的迅速普及和广泛应用,电子商务以其快捷、便利等优点越来越受到社会的认可。
电子商务的发展前景十分诱人,但商业信息的安全依然是电子商务的首要问题。
关键词:
电子商务安全威胁安全技术
1.引言
电子商务(Electronic Commerce)就是利用电子数据交换(EDI)、电子邮件(E-mail)、电子资金转账(EFT)及Internet的主要技术在个人间、企业间和国家间进行无纸化的业务信息的交换。
随着互联网的全面普及,基于互联网的电子商务也应运而生,成为一种全新的商务模式,被许多经济专家认为是新的经济增长点。
电子商务就是要在网络信息安全技术的保证下,利用开放信息互联网实现可跨区的在线商品交易、金融资本交易及其商务活动作业的全过程并且利用计算机技术、网络通信技术和英特网实现商务活动的国际化、信息化和无纸化,电子商务这一浩瀚的全球虚拟市场创造了二十一世纪各国的经济热点。
尽管电子商务的发展势头非常惊人,但是由于电子商务的开放性及其所基于的网络全球性、无缝连通性、共享性、动态性发展,使得电子商务的安全问题成为现今的聚焦中心,另外还有一个主要的障碍就是如何保证传输数据的安全和交易双方的身份确认。
如何建立一个安全、便捷的电子商务应用环境,对信息提供足够的保护,是商家和用户都十分关注的话题。
1电子商务的安全问题
1.1电子商务安全问题的产生
1、在线交易主体虚拟化带来的安全问题:
在电子商务环境下,任何人不经登记就可以借助计算机网络发出或接受网络信息,并通过一定程序与其他人达成交易。
虚拟主体的存在使电子商务交易安全受到严重威胁。
2、虚假信息的发布带来的安全问题:
当用户以合法身份进入系统后,买卖双方都可能在网络上发布虚假的供求信息,或以过期的信息冒充现在的信息,以骗取对方的钱款或货物。
3、过低的信用度带来的安全问题:
(1)低信用度的买方带来的安全问题:
低信用度的买方,可能存恶意透支或使用伪造的信用卡骗取卖方货物或存在拖延货款行为,卖方需要为此承担风险。
(2)低信用度的买方带来的安全问题:
卖方不能按质、按量、按时寄送消费者购买的货物,或者不能完全履行与集团购买者签订的合同,造成买方的风险。
(3)低信用度的买卖双方都存在抵赖的情况。
(4)网络欺诈的存在带来的安全问题:
在电子交易活动中频繁欺诈用户这是网络骗子们常用的骗术,利用电子商务进行欺诈已经成为一种新型犯罪活动,目前这种网上欺诈也已经成为国际性的难题。
(5)电子合同取代书面合同过程中带来的安全问题:
在在线交易情形下,交易双方的所有信息都是以电子化的形式存储于计算机硬盘或其他电子介质中,这些记录不仅容易被涂擦、删改、复制、遗失,而且不能脱离其记录工具(计算机)而作为证据独立存在。
由此而引发诸多方面的安全问题
(6)网上电子支付过程带来的安全问题:
完电子商务的网上支付通过信用卡支付和虚拟银行的电子资金划拨来完成。
而实现这一过程涉及网络银行与网络交易客户之间的协议、网络银行与网站之间的合作协议以及安全保障问题。
(7)产品交付过程带来的安全问题:
有形货物的在线交易中物流配送环节引发的一些特殊问题及无形的信息产品在交付中对于其权利的移转、退货、交付的完成等带来的安全问题。
(8)网络消费者维权时引发的安全问题:
在线市场的虚拟性和开放性以及网上购物的便捷性都使消费者保护成为突出的问题。
比如质量问题,退赔、修理困难问题等。
(9)网络恶意攻击者的破坏活动带来的安全问题:
包括系统穿透、违反授权原则、植入、通信监听、通信干扰、中断、拒绝服务、否认等。
1.2有关电子商务的安全性要求
1、对电子商务活动安全性的要求:
(1)服务的有效性要求。
电子商务系统应能防止服务失败情况的发生,预防由于网络故障和病毒发作等因素产生的系统停止服务等情况,保证交易数据能准确快速的传送。
(2)交易信息的保密性要求。
电子商务系统应对用户所传送的信息进行有效的加密,防止因信息被截取破译,同时要防止信息被越权访问。
(3)数据完整性要求。
数字完整性是指在数据处理过程中,原来数据和现行数据之间保持完全一致。
为了保障商务交易的严肃和公正,交易的文件是不可被修改的,否则必然会损害一方的商业利益。
(4)身份认证的要求。
电子商务系统应提供安全有效的身份认证机制,确保交易双方的信息都是合法有效的,以免发生交易纠纷时提供法律依据。
2、电子商务的主要安全要素
(1)信息真实性、有效性。
电子商务以电子形式取代了纸张,如何保证这种电子形式的贸易信息的有效性和真实性则是开展电子商务的前提。
电子商务作为贸易的一种形式,其信息的有效性和真实性将直接关系到个人、企业或国家的经济利益和声誉。
(2)信息机密性。
电子商务作为贸易的一种手段,其信息直接代表着个人、企业或国家的商业机密。
传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报文来达到保守机密的目的。
电子商务是建立在一个较为开放的网络环境上的,商业防泄密是电子商务全面推广应用的重要保障。
(3)信息完整性。
电子商务简化了贸易过程,减少了人为的干预,同时也带来维护商业信息的完整、统一的问题。
由于数据输入时的意外差错或欺诈行为,可能导致贸易各方信息的差异。
此外,数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会导致贸易各方信息的不同。
因此,电子商务系统应充分保证数据传输、存储及电子商务完整性检查的正确和可靠。
(4)信息可靠性、可鉴别性和不可抵赖性。
可靠性要求即是能保证合法用户对信息和资源的使用不会被不正当地拒绝;不可否认要求即是能建立有效的责任机制,防止实体否认其行为;可控性要求即是能控制使用资源的人或实体的使用方式。
在传统的纸面贸易中,贸易双方通过在交易合同、契约或贸易单据等书面文件上手写签名或印章来鉴别贸易伙伴,确定合同、契约、单据的可靠性并预防抵赖行为的发生。
在无纸化的电子商务方式下,通过手写签名和印章进行贸易方的鉴别已是不可能的。
因此,要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识。
在internet上每个人都是匿名的,电子商务系统应充分保证原发方在发送数据后不能抵赖;接收方在接收数据后也不能抵赖。
1.3电子商务对安全环境的要求
1、确保信息的安全要求包括有效性、机密性、完整性、可靠性/不可抵赖性/鉴别等;
2、确保授权合法性;
3、确保交易者身份的确定性;
4、确保内部网的严密性。
1.4电子商务面临的安全威胁
根据攻击能力的组织结构程度和使用的手段,可以将威胁归纳为四种基本类型:
无组织结构的内部和外部威胁与有组织结构的内部和外部威胁。
一般来讲,对外部威胁,安全性强调防御;对内部威胁,安全性强调威慑。
1、病毒。
病毒是由一些不正直的程序员所编写的计算机程序,它采用了独特的设计,可以在受到某个事件触发时,复制自身,并感染计算机。
如果在病毒可以通过某个外界来源进入网络时,网络才会感染病毒。
2、恶意破坏程序。
网站会提供一些软件应用的开发而变得更加活泼。
这些应用可以实现动画和其他一些特殊效果,从而使网站更具有吸引力和互动性。
恶意破坏程序是指会导致不同程度破坏的软件应用或者Java小程序。
3、攻击。
目前已经出现了各种类型的网络攻击,它们通常被分为三类:
探测式攻击,访问攻击和拒绝服务(DOS)攻击。
a.探测式攻击实际上是信息采集活动,黑客们通过这种攻击搜集网络数据,用于以后进一步攻击网。
b.访问攻击用于发现身份认证服务、文件传输协议(FTP)功能等网络领域的漏洞,以访问电子邮件账号、数据库和其他保密信息。
c.DOS攻击可以防止用户对于部分或者全部计算机系统的访问。
4、数据阻截
通过任何类型的网络进行数据传输都可能会被XX的一方截取。
犯罪分子可能会窃听通信信息,甚至更改被传输的数据分组。
犯罪分子可以利用不同的方法来阻截数据。
5、垃圾信件。
垃圾信件被广泛用于表示那些主动发出的电子邮件或者利用电子邮件广为发送未经申请的广告信息的行为。
垃圾信件通常是无害的,但是它可能会浪费接收者的时间和存储空间,带来很多麻烦。
因此,随着电子商务日益发展和普及,安全问题显得异常突出,解决安全问题已成为我国电子商务发展的当务之急。
2、电子商务的安全防范策略
经过数十年的探索,电子商务安全防范策略从最初的商务信息保密性发展到商务信息的完整性、可用性、可控性和不可否认性,进而又发展为“攻、防、测、控、管、评”等多方面的基础理论和实施技术。
目前,电子商务安全领域已经形成了9大核心技术,它们是:
密码技术、身份验证技术、访问控制技术、防火墙技术、安全内核技术、网络反病毒技术、信息泄露防治技术、网络安全漏洞扫描技术、入侵检测技术。
2.1电子商务安全问题采取的对策
电子商务的安全问题涉及到电子商务的各个环节和参加交易的各个方面,解决电子商务的安全问题是一个系统工程和社会问题,需全社会的参与。
但在操作层面上,主要有以下几方面:
1、防火墙技术是用来加强网络之间的访问控制,防止外部网络用户以非法手段通过外部网络进人内部网络。
防火墙技术主要有包过滤、代理服务、状态监控等技术。
防火墙技术的主要优点是:
过滤不安全的服务,提高网络安全和减少子网中主机的风险;提供对系统的访问控制;阻击攻击者获取攻击网络系统的有用信息;根据统计数据来判断可能的攻击和探测等。
2、信息加密技术作为主动的信息安全防范措施,利用加密算法,将明文转换成为无意义的密文,阻止非法用户理解原始数据,从而确保数据的保密性。
3、数字证书和认证技术是网络通信中标志通信各方身份信息的一系列数据,通过运用对称和非对称密码体制建立起一套严密的身份认证系统。
具有信息除发送方和接收方外不被其他人窃取,信息在传输过程中不被篡改,发送方能够通过数字证书来确认接收方的身份,发送方对于自己发送的信息不能抵赖等多项功能。
4、SSL(安全套接层协议)是一种安全通信协议。
SSL提供了两台计算机之间的安全连接,对整个会话进行了加密,从而保证了信息的安全传输。
具有三个特点:
采用对称密码体制来加密数据;采用信息验证算法进行完整性检验;对端实体的鉴别采用非对称密码体制进行认证。
5、SET(安全电子交易)是通过开放网络进行安全资金支付的技术标准,SET向基于信用卡进行电子化交易的应用提供实现安全措施的规则:
信息在Internet上安全传输,保证传输的数据不被黑客窃取;其定单信息和个人账号信息的隔离,当包含持卡人账号信息的定单送到商家时,商家只能看到定货信息,而看不到持卡人的账户信息;持卡人和商家相互认证,以确定通信双方的身份。
电子商务尚是一个机遇和挑战(风险)共存的新领域,这种挑战不仅来源于传统的习惯、来源于计划体制和市场体制的冲突、更来源于对可使用的安全技术的信赖。
随着电子商务的发展,安全问题更加重要和突出。
要想解决好这个问题,必须由安全技术和标准作保障。
电子商务的发展促使对安全技术进行不断探索研究和开发应用,以建立一个安全的商务环境。
2.2电子商务采用的主要安全技术
1.网络节点的安全
防火墙是一种由计算机硬件和软件的组合,使互联网与内部网之间建立起一个安全网关,从而保护内部网免受非法用户的侵入,它其实就是一个把互联网与内部网(通常指局域网或城域网)隔开的屏障。
防火墙的应用可以有效的减少黑客的入侵及攻击,为电子商务的施展提供一个相对更安全的平台。
防火墙是在连接Internet和Intranet保证安全最为有效的方法,防火墙能够有效地监视网络的通信信息,并记忆通信状态,从而作出允许/拒绝等正确的判断。
通过灵活有效地运用这些功能,制定正确的安全策略,将能提供一个安全、高效的Intranet系统。
应给予特别注意的是,防火墙不仅仅是路由器、堡垒主机或任何提供网络安全的设备的组合,它是安全策略的一个部分。
安全策略建立了全方位的防御体系来保护机构的信息资源,这种安全策略应包括:
规定的网络访问、服务访问、本地和远地的用户认证、拨入和拨出、磁盘和数据加密、病毒防护措施,以及管理制度等。
所有有可能受到网络攻击的地方都必须以同样安全级别加以保护。
仅设立防火墙系统,而没有全面的安全策略,那么防火墙就形同虚设。
2.通讯的安全
在客户端浏览器和电子商务WEB服务器之间采用SSL协议建立安全链接,所传递的重要信息都是经过加密的,这在一定程度上保证了数据在传输过程中的安全。
目前采用的是浏览器缺省的40位加密强度,也可以考虑将加密强度增加到128位。
为在浏览器和服务器之间建立安全机制,SSL首先要求服务器向浏览器出示它的证书,证书包括一个公钥,由一家可信证书授权机构(CA中心)签发。
浏览器要验征服务器证书的正确性,必须事先安装签发机构提供的基础公共密钥(PKI)。
验证个人证书是为了验证来访者的合法身份,而单纯的想建立SSL链接时客户只需用户下载该站点的服务器证书(下载可以在访问之前或访问时)。
验证此证书是合法的服务器证书通过后利用该证书对称加密算法(RSA)与服务器协商一个对称算法及密钥,然后用此对称算法加密传输的明文。
此时浏览器也会出进入安全状态的提示。
3.应用程序的安全性
即使正确地配置了访问控制规则,要满足计算机系统的安全性也是不充分的,因为编程错误也可能引致攻击。
程序错误有以下几种形式:
程序员忘记检查传送到程序的入口参数;程序员忘记检查边界条件,特别是处理字符串的内存缓冲时;程序员忘记最小特权的基本原则。
整个程序都是在特权模式下运行,而不是只有有限的指令子集在特权模式下运行,其他的部分只有缩小的许可;程序员从这个特权程序使用范围内建立一个资源,如一个文件和目录。
不是显式地设置访问控制(最少许可),程序员认为这个缺省的许可是正确的。
这些缺点都被使用到攻击系统的行为中。
不正确地输入参数被用来骗特权程序做一些它本来不应该做的事情。
缓冲溢出攻击就是通过给特权程序输入一个过长的字符串来实现的。
程序不检查输入字符串长度。
假的输入字符串常常是可执行的命令,特权程序可以执行指令。
程序碎块是特别用来增加黑客的特权的或是作为攻击的原因写的。
例如,缓冲溢