E国(中国)有限公司电子商务中存在的安全隐患及其应对策略.doc

1、电商072 36号 阳鑫磊 e国（中国）有限公司电子商务中存在的安全隐患及其应对策略上海商学院电子商务安全技术期中考试题 目E国（中国）有限公司电子商务中存在的安全隐患及其应对策略学生姓名 学 号 指导教师 二级学院 专业班级完成时间3目录1E国（中国）有限公司11.1公司简介11.2公司现状11.3公司特点22. 公司业务流程图33. 公司存在的安全隐患33.1 客户端数据的完整性和有效性33.1.1特殊字符的过滤33.1.2数据库问题43.2 大量数据查询导致拒绝服务53.3 Cookie或用户身份的常用认证问题54. 主要解决技术54.1 代码解决技术54.1.1 防范脚本攻击54.1.

2、2 防范sql injeciton攻击74.1.3 防止ASP木马74.1.4 Cookie或用户身份的常用认证问题的解决办法84.2 科技产品解决技术94.2.1防火墙技术94.2.2入侵检测系统(IDS)94.2.3虚拟专用网(VPN)技术94.2.4病毒防治技术95. 主流产品及产品应用105.1 防火墙105.1.1网络级防火墙105.1.2应用级网关115.1.3电路级网关115.1.4规则检查防火墙115.2加密125.2.1常规密钥密码体制135.2.2数据加密标准DES135.2.3公开密钥密码体制135.3数字签名145.4用户识别和安全认证145.4.1认证的主要方法146

3、. 解决方案156.1技术措施156.1.1信息加密技术156.1.2数字签名技术156.1.3防火墙技术166.1.4数字证书166.1.5病毒防范技术166.1.6安全电子交易协议166.2管理措施176.2.1人员管理制度176.2.2保密制度176.2.3系统维护制度186.2.4法律制度186.1.5应急措施187.结论191 E国（中国）有限公司1.1公司简介公司成立时间：1999年公司网站： 地 址： 北京市海淀区知春路甲48号盈都大厦A座17A 电 话： (010)58732930-825 电子邮箱： eguojob企业规模：目前已经发展成为拥有200多名员工的盈利的电子商务企

4、业，在中国拥有上百万电子商务顾客群。经营理念：就是用互联网电子商务的手段，给广大消费者和企业提供最方便的服务和最优惠的价格。经营产品：食品百货、鲜花礼品、化妆品、个人护理、音像图书、软件游戏、玩具、数码家电、通讯器材、时尚家居、服装服饰、运动休闲、艺术音乐、汽车用品等等。商业模式：从管理、市场、采购、配送、到客户服务，E国始终不断尝试新的电子商务方法，创造新的电子商务业绩。E国2000年推出的E国1小时彻底打破了电子商务在早期发展中的物流瓶颈，在E国提供1小时服务的地区为顾客提供高效快速的配送。2001年E国成功地将线上和线下结合，推出创新的线上线下相结合的多渠道电子商务销售模式，为E国电子商

5、务的盈利打下坚实的基础。合作伙伴：可口可乐，雀巢，西门子，高伦雅芙，曼秀雷顿等。1.2公司现状北京亿国天地电子商务有限公司是主营休闲时尚,食品日用、鲜花礼品、通讯家电、图书音像的大型综合网上商城。E国网上商城以方便快捷、全面周到的服务闻名于国内的电子商务零售界，是中国最具竞争力的网上零售品牌之一。 亿国天地电子商务有限公司（），是以提供Internet相关服务为主的高科技跨国公司，业务遍及美国、日本、南韩、印度、香港等国家和地区。1999年10月，亿国正式推出以“实用实利，服务百姓”为宗旨的e国百姓生活网（），旨在为百姓提供最大限度的实用与实利。2000年4月e国网上商城推出“e国一小时”限时

6、服务，利用互联网做销售平台，并自建物流配送系统，使e国迅速成长为中国电子商务网站中的黄金品牌。2000年7月CNNIC网站评选，e国获得中国电子商务类网站第三名，最具影响力网站第二十九名。2000年10月e国开展线下超市业务，使电子商务和传统商业更紧密地结合起来，现在e国在高档社区已开10家超市，e国不仅进行产品销售，同时利用互联网与厂商合作，把最大的方便，最好的服务奉献给顾客，e国的合作伙伴有百事、统一、大宝、IBM、微软等。e国将不断改善网站，把电子商务推向更广阔的领域。1.3公司特点由美国麻省理工留学博士张永青先生创办，是中国成立最早、也是最成熟的电子商务公司之一。 1、 拥有国外先进的

7、营销管理理念与国内企业实际运作相结合的实践经验； 2、 拥有集多年实际营销与技术于一身的咨询团队，为企业提供切实的咨询服务； 3、 拥有规范、周致的实施队伍，为企业提供7*24小时的无忧服务； 4、 拥有强劲的技术研发队伍，为企业量身定做适合自己的信息管理系统； 5、 拥有优秀的项目控制能力，项目费用低于国内同行业费用； 6、 拥有多年的电子商务支持，可使企业的产品销售迅速拓展； 同时，E国公司是美国斯坦福大学EPGY (Global Learning Stanford University EPGY)独家全权授权的在中国大陆全面开展斯坦福大学EPGY业务的公司，也是美国斯坦福大学EPGY的中

8、国代表处。 斯坦福大学EPGY (Global Learning Stanford University EPGY)是斯坦福大学通过长达40年研究开发的主要面向中学生的远程教育系统。EPGY课程包含小学、中学、大学程度的数学、物理、英语、计算机课程。斯坦福大学EPGY每年在美国斯坦福校园和中国大陆开设学生夏令营。如果学生以后在斯坦福大学入读本科，那么EPGY大学课程学分可以累计进入学生总学分。每年有超过5,000名来自全世界各个国家的中学生通过EPGY学习。斯坦福大学EPGY的毕业生大都被世界一流大学录取。2. 公司业务流程图该公司的业务流程如图1 。图1 公司业务流程图3. 公司存在的安全隐

9、患随着社会信息化步伐的加快，利用计算机技术、网络通信技术和英特网实现商务活动的国际化、信息化和无纸化，成本低、及时性和互通性好，以及在拓展市场等方面的优势，使得电子商务受到全球的广泛关注。同国内90%以上的电子商务站点一样，e国（中国）有限公司存在的一些具有普遍性的严重安全漏洞，攻击者可以轻易盗取用户帐号、交易密码，并可使用用户资金进行网上交易。3.1 客户端数据的完整性和有效性3.1.1特殊字符的过滤在 W3C 的 WWW Security FAQ 中关于CGI安全编程一节里列出了建议过滤的字符：&;“”“|*?-()nr，这些字符由于在不同的系统或运行环境中会具有特殊意义，如变量定义/赋值

10、/取值、非显示字符、运行外部程序等，而被列为危险字符。 CGI和Script编程语言的问题 在几种国内常见的WEB编程语言中，ASP和Cold Fusion 脚本语言对特殊字符的过滤机制不够完善，例如没有对单引号做任何处理等。Perl和php对特殊字符的过滤则较为严密，如忽略或加上“”（取消特殊字符含义）处理。C语言编写的cgi程序对特殊字符的过滤完全依赖于程序员的知识和技术，因此也可能存在安全问题。Microsoft ASP脚本普遍存在的问题是程序员在编写ASP脚本时,缺少或没有对客户端输入的数据/变量进行严格的合法性分析。因此,如果攻击者输入某些特定sql语句,可能造成数据库资料丢失/泄漏

11、/甚至威胁整个站点的安全。比如攻击者可以任意创建或者删除表（如果可以猜测出已存在的表名），清除或者更改数据库数据。攻击者也可能通过执行一些储存过程函数,将sql语句的输出结果通过电子邮件发送给自己，或者执行系统命令。PHP和Perl 虽然提供了加上”（取消特殊字符含义）处理的手段，但是处理一些数据库时依然可以被改写。对于MySQL则没有问题，不会与前面的单引号封闭，而当作一个合法的字符处理。针对oracle和informix等数据库暂时未进行相关测试。 另外，对于PHP或者Perl语言，很多程序对于数字类型的输入变量，没有加单引号予以保护，攻击者就有可能在这种变量中加入额外的SQL语句，来攻击

12、数据库或者获得非法控制权限。3.1.2数据库问题不同的数据库对安全机制的不同认识和实现方法，使它们的安全性也有所不同。最常见的问题是利用数据库对某些字符的不正确解释，改写被执行的SQL语句，从而非法获得访问权限。例如，Microsoft SQL Server和Sybase对 当作了两个不同字符，所以仅仅在程序中加上”仍然可能通过一些特殊手段改写 SQL语句突破数据库的安全防线。Microsoft SQL Server也将”“作为注释符号，这个符号以后的SQL语句均被忽略，攻击者可能利用这个来屏蔽掉某些用来认证的SQL语句(例如口令验证)，获得对合法用户帐号的控制权。MySQL则将作为一个可操作

13、的正常字符，不存在利用改写的可能。其它数据库如Oracle、Informix和MiniSQL等也必须注意防止各种改写SQL语句的可能。3.2 大量数据查询导致拒绝服务网站对用户输入内容的判断在前台，用JavaScript判断，如果用户绕过前台判断，就能对数据库进行全查询，如果数据库比较庞大，会耗费大量系统资源，如果同时进行大量的这种查询操作，就会有Denial of Service（DoS 拒绝服务）同样的效果。3.3 Cookie或用户身份的常用认证问题对于一个网站会员而言，经常存在需要一次注册，多次认证的问题，一般采用手段为cookie或input type=hidden来传递认证参数。这

14、里面有几点隐患： I. 所携带内容必须完整包含帐号密码，或类似的完整安全信息，如果只携带帐号信息或用某种权限标志来认证，极容易造成非法入侵，我们检测了一些电子商务网站，很多都有此类安全隐患。例如某站点中的会员更新页面中携带的认证信息是两个，用户名和Uid(均为明文传送)已知Uid对于每个会员是唯一的。由于我们只需要知道对方的帐号和Uid就可以更改对方信息（不需要知道密码！），只要攻击者知道Uid（攻击者可以通过暴力猜测的方法来得到Uid，有时候站点本身也会泄露用户的Uid,例如在论坛等处）那么，攻击者就可以通过遍历攻击完成对任意一个帐号的信息更改。 II. 必须所有需要权限操作的页面都必须执行

15、认证判断的操作。如果任何一页没有进行这种认证判断，都有可能给攻击者以恶意入侵的机会。 III. 很多网站为了方便，将用户名以及口令信息储存在Cookie中，有的甚至以明文方式保存口令。如果攻击者可以访问到用户的主机，就可能通过保存的Cookie文件得到用户名和口令。4. 主要解决技术4.1 代码解决技术4.1.1 防范脚本攻击(1)根据目前国内电子商务网站普遍存在的安全问题，主要的原因是未对某些特殊字符例如单引号（）进行过滤，或过滤机制不够完善。因此较为根本的解决方法是加强过滤机制，对用户输入数据进行全面的检查。以对ASP + Microsoft SQL Server类型的网站危害比较大的单引号（）为例。目前可以肯定的是仅仅通过加上”或双