電子商務網(wǎng)站的安全管理課件_第1頁
電子商務網(wǎng)站的安全管理課件_第2頁
電子商務網(wǎng)站的安全管理課件_第3頁
電子商務網(wǎng)站的安全管理課件_第4頁
電子商務網(wǎng)站的安全管理課件_第5頁
已閱讀5頁,還剩53頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內容提供方,若內容存在侵權,請進行舉報或認領

文檔簡介

電子商務網(wǎng)站的安全管理電子商務網(wǎng)站的一、

電子商務網(wǎng)站的安全

(一)電子商務網(wǎng)站的安全隱患與安全需求1.電子商務網(wǎng)站面臨的安全隱患(1)信息的截獲和竊取。如果采用加密措施不夠,攻擊者通過互聯(lián)網(wǎng)、公共電話網(wǎng)在電磁波輻射范圍內安裝截獲裝置或在數(shù)據(jù)包通過網(wǎng)關和路由器上截獲數(shù)據(jù),獲取機密信息或通過對信息流量、流向、通信頻度和長度分析,推測出有用信息如消費者的銀行賬號、密碼以及企業(yè)的商業(yè)機密等,從而破壞信息的機密性。一、電子商務網(wǎng)站的安全

(一)電子商務網(wǎng)站的安全隱患與安(2)信息的篡改。當攻擊者熟悉網(wǎng)絡信息格式后,通過技術手段對網(wǎng)絡傳輸信息中途修改并發(fā)往目的地,破壞信息完整性。(3)信息假冒。當攻擊者掌握網(wǎng)絡信息數(shù)據(jù)規(guī)律或解密商務信息后,假冒合法用戶或發(fā)送假冒信息欺騙其他用戶。如釣魚網(wǎng)站就是指不法分子利用各種手段,假冒真實網(wǎng)站的URL地址以及頁面內容,以此來騙取用戶銀行或信用卡賬號、密碼等私人資料。(2)信息的篡改。當攻擊者熟悉網(wǎng)絡信息格式后,通過技術手段對(4)交易抵賴。交易抵賴包括多方面,如發(fā)信者事后否認曾發(fā)送信息、收信者事后否認曾收到消息、購買者下了訂貨單不承認、商家賣出的商品因價格差而不承認原有的交易等。(4)交易抵賴。交易抵賴包括多方面,如發(fā)信者事后否認曾發(fā)送信2.網(wǎng)站后臺數(shù)據(jù)庫的安全在網(wǎng)站運行過程中,最糟糕的就是數(shù)據(jù)庫文件被下載。一旦這個核心文件被惡意下載,那么網(wǎng)站幾乎就等于將控制權拱手讓人了。常見的數(shù)據(jù)庫文件安全措施有以下三種。一、

電子商務網(wǎng)站的安全

(一)電子商務網(wǎng)站的安全隱患與安全需求2.網(wǎng)站后臺數(shù)據(jù)庫的安全一、電子商務網(wǎng)站的安全

(一)(1)設置本機中的數(shù)據(jù)庫安全策略(適合于大網(wǎng)站,自己擁有獨立的WEB服務器)如果能夠控制服務器(以xp系統(tǒng)為環(huán)境),使用如下方法,能夠徹底避免數(shù)據(jù)庫文件被下載的方法。步驟1:首先,依次單擊“開始”一“管理工具”一“Internet信息服務(IIS)管理器”菜單,打開如圖所示的對話框。在這里需要右鍵單擊數(shù)據(jù)庫文件(cib.mdb),在彈出的菜單中選擇“屬性”。(1)設置本機中的數(shù)據(jù)庫安全策略(適合于大網(wǎng)站,自己擁有獨立電子商務網(wǎng)站的安全管理課件步驟2:在彈出的對話框中,勾選“重定向到URL”項,并在“重定向”欄中輸入當前網(wǎng)站的網(wǎng)址(或任意網(wǎng)址),如圖所示。步驟2:在彈出的對話框中,勾選“重定向到URL”項,并在“重如此操作之后,如果再有人試圖用“/db.mdb”文件,那么將自動訪問重定向的網(wǎng)址,而不會執(zhí)行db.mdb這個數(shù)據(jù)庫文件的下載操作。如此操作之后,如果再有人試圖用“http://127.0.0(2)購買空間的安全策略(適合于小網(wǎng)站,WEB服務器是租用的空間)把數(shù)據(jù)庫放在Web目錄之外。也就是說,不把數(shù)據(jù)庫放在可以直接被訪問的Web目錄之內,這可以說是最保險的方法。下面,以某個購買的網(wǎng)站空間為例,講解一下具體實現(xiàn)的方法:(2)購買空間的安全策略(適合于小網(wǎng)站,WEB服務器是租用的步驟1:首先,使用FTP方式登錄到網(wǎng)站的空間根目錄下。此時,可以看到有如圖所示的多個目錄。步驟1:首先,使用FTP方式登錄到網(wǎng)站的空間根目錄下。此時,步驟2:在這里,Web目錄用于存儲網(wǎng)站的內容。Db目錄就是空間服務商提供的用于存儲數(shù)據(jù)庫文件的地方。由于DB這個目錄不能被來訪者通過URL地址訪問到,進而就杜絕了數(shù)據(jù)庫文件被惡意下載的可能。步驟2:在這里,Web目錄用于存儲網(wǎng)站的內容。Db目錄就是空步驟3:接著,需要在設計網(wǎng)站時將數(shù)據(jù)庫連接文件中的路徑指向到db目錄。步驟4:最后,把cib1.mdb文件復制到db目錄中就可以了。步驟3:接著,需要在設計網(wǎng)站時將數(shù)據(jù)庫連接文件中的路徑指向到(3)特殊文件名法(適用于所有網(wǎng)站)如果購買的網(wǎng)站空間中沒有提供DB、Web等目錄,那么建議使用更改數(shù)據(jù)庫文件名的方法來實現(xiàn)數(shù)據(jù)庫的安全。有一些網(wǎng)站認為把數(shù)據(jù)庫文件的擴展名修改為.asp(如123.asp),就可以保障數(shù)據(jù)庫不被下載了,其實這不完全正確,用特殊的下載工具還是可以被下載的。在如圖所示中可以看到這樣的數(shù)據(jù)庫文件,是無法通過IE瀏覽器瀏覽的。(3)特殊文件名法(適用于所有網(wǎng)站)電子商務網(wǎng)站的安全管理課件但是,這樣的asp文件用迅雷卻是可以被下載的,如圖所示。但是,這樣的asp文件用迅雷卻是可以被下載的,如圖所示。在系統(tǒng)下載文件完成后,只需把文件名再改成mdb,就可以正常使用Access對文件進行編輯了。顯然,我們需要換一種方法。正確的更名做法是在數(shù)據(jù)庫文件名添加#符號,如“#aa.asp”,這樣無論是舊還是迅雷等下載工具都不會將這個文件下載到本地了,如圖示。在系統(tǒng)下載文件完成后,只需把文件名再改成mdb,就可以正常使當然,修改數(shù)據(jù)庫文件名稱后,conn.asp這樣的數(shù)據(jù)庫路徑設置文件中的文件名也需要做相應的修改,如圖所示。當然,修改數(shù)據(jù)庫文件名稱后,conn.asp這樣的數(shù)據(jù)庫路徑通過添加特殊的字符,可以讓數(shù)據(jù)庫文件路徑即使不憤暴露,也能不被惡意下載。通常,數(shù)據(jù)庫文件名會被修改#aa.asp這樣的類型,這樣既具備了一定的欺騙性,又可以起到很好的防止下載效果。通過添加特殊的字符,可以讓數(shù)據(jù)庫文件路徑即使不憤暴露,也能不3.代碼漏洞問題代碼漏洞有很多形式,如數(shù)據(jù)庫連接錯誤導致Web服務器錯誤提示,而這些錯誤提示中可能會含有數(shù)據(jù)庫或表等重要信息。又例如后臺程序只有主程序驗證了管理員的身份信息,而其他頁面忽視了身份驗證,使得非法用戶可以繞過登錄而直接打開后臺的某個管理頁面。3.代碼漏洞問題4.網(wǎng)站數(shù)據(jù)庫安全管理的措施網(wǎng)站管理員主要要做兩件事,最重要的一件事,當然是對客戶端提交的變量參數(shù)進行仔細地檢測。對客戶端提交的變量進行檢查以防止SQL注入攻擊。二是給用戶密碼加密。比如用MD5加密。MD5是沒有反向算法,不能解密的。人家即使知道經(jīng)加密后存在數(shù)據(jù)庫里的像亂碼一樣的密碼,他也沒辦法知道原始密碼了。

4.網(wǎng)站數(shù)據(jù)庫安全管理的措施4.網(wǎng)站數(shù)據(jù)庫安全管理的措施網(wǎng)站管理員還應在IIS中為每個網(wǎng)站設置好執(zhí)行權限,可千萬別給人家靜態(tài)網(wǎng)站以“腳本和可執(zhí)行”權限。一般情況下給個“純腳本”權限就夠了,對于那些通過網(wǎng)站后臺管理中心上傳的文件存放的目錄,就更吝嗇一點吧,執(zhí)行權限設為“無”好了,這樣做是為了防止人家上傳ASP木馬,執(zhí)行權限設為“無”,人家上傳ASP木馬也運行不了。4.網(wǎng)站數(shù)據(jù)庫安全管理的措施4.網(wǎng)站數(shù)據(jù)庫安全管理的措施一般情況下,SQL注入漏洞僅是涉及一個網(wǎng)站安全的事,如果人家通過這個漏洞上傳了ASP木馬并運行起來,那整個服務器都失陷了。所以有遠見的、有責任心的服務器管理員應該十分吝嗇的配置IIS的執(zhí)行權限。

4.網(wǎng)站數(shù)據(jù)庫安全管理的措施5.防止利用SQL注入漏洞進行SQL注入攻擊SQL注入攻擊是黑客對數(shù)據(jù)庫進行攻擊的常用手段之一。由于程序員的水平及經(jīng)驗也參差不齊,相當大一部分程序員在編寫代碼的時候,沒有對用戶輸入數(shù)據(jù)的合法性進行判斷,使應用程序存在安全隱患。用戶可以提交一段數(shù)據(jù)庫查詢代碼,根據(jù)程序返回的結果,獲得某些他想得知的數(shù)據(jù),這就是所謂的SQLInjection,即SQL注入。5.防止利用SQL注入漏洞進行SQL注入攻擊SQL注入攻擊詳細解釋說明文檔/link?url=UyNTvBZee0ZGKSe7sDIPIWvSfOAhcMh5D39GS67F2N6OJNvPrYdNDKxQuC3HDXmUSQL注入攻擊詳細解釋說明文檔網(wǎng)站防范對策天天關注你負責的網(wǎng)站定期備份數(shù)據(jù)庫和供下載的文檔密碼要健壯網(wǎng)站改版后,如需保留舊版,要記得刪除舊版的后臺文件時間一致原則網(wǎng)站防范對策天天關注你負責的網(wǎng)站網(wǎng)站防范對策要把數(shù)據(jù)庫擴展名更名為.asa等給用戶盡可能少的功能和權限出錯信息越模糊越好及時替換掉染毒頁面定期修改密碼網(wǎng)站防范對策要把數(shù)據(jù)庫擴展名更名為.asa等系統(tǒng)出錯——卓越上千元圖書只要25元“昨晚卓越網(wǎng)上的書25元隨便買,有誰買了嗎?”“快搶啊,幾千塊的書只要25元”……昨日凌晨,包括重慶、上海、北京在內的網(wǎng)友不斷在泡泡網(wǎng)、開心網(wǎng)等論壇上發(fā)出上述帖子。一套全19冊《宋元明清書目題跋叢刊》的商品說明中顯示,其市場價為4600元,卓越網(wǎng)當晚價格標為25元,后面還提示“為您節(jié)省4575元”,而超級VIP價則僅為23.75元。據(jù)悉,當晚有大量來自上海、北京、天津等地的網(wǎng)友抓住了“機會”。大量上千元的圖書只賣25元,難到天上會掉餡餅?天亮后正等著收貨的網(wǎng)友,卻等來了卓越方面退單的通知。(資料轉自新浪網(wǎng)2009-12-25)系統(tǒng)出錯——卓越上千元圖書只要25元“昨晚ThankyouThankyou電子商務網(wǎng)站的安全管理電子商務網(wǎng)站的一、

電子商務網(wǎng)站的安全

(一)電子商務網(wǎng)站的安全隱患與安全需求1.電子商務網(wǎng)站面臨的安全隱患(1)信息的截獲和竊取。如果采用加密措施不夠,攻擊者通過互聯(lián)網(wǎng)、公共電話網(wǎng)在電磁波輻射范圍內安裝截獲裝置或在數(shù)據(jù)包通過網(wǎng)關和路由器上截獲數(shù)據(jù),獲取機密信息或通過對信息流量、流向、通信頻度和長度分析,推測出有用信息如消費者的銀行賬號、密碼以及企業(yè)的商業(yè)機密等,從而破壞信息的機密性。一、電子商務網(wǎng)站的安全

(一)電子商務網(wǎng)站的安全隱患與安(2)信息的篡改。當攻擊者熟悉網(wǎng)絡信息格式后,通過技術手段對網(wǎng)絡傳輸信息中途修改并發(fā)往目的地,破壞信息完整性。(3)信息假冒。當攻擊者掌握網(wǎng)絡信息數(shù)據(jù)規(guī)律或解密商務信息后,假冒合法用戶或發(fā)送假冒信息欺騙其他用戶。如釣魚網(wǎng)站就是指不法分子利用各種手段,假冒真實網(wǎng)站的URL地址以及頁面內容,以此來騙取用戶銀行或信用卡賬號、密碼等私人資料。(2)信息的篡改。當攻擊者熟悉網(wǎng)絡信息格式后,通過技術手段對(4)交易抵賴。交易抵賴包括多方面,如發(fā)信者事后否認曾發(fā)送信息、收信者事后否認曾收到消息、購買者下了訂貨單不承認、商家賣出的商品因價格差而不承認原有的交易等。(4)交易抵賴。交易抵賴包括多方面,如發(fā)信者事后否認曾發(fā)送信2.網(wǎng)站后臺數(shù)據(jù)庫的安全在網(wǎng)站運行過程中,最糟糕的就是數(shù)據(jù)庫文件被下載。一旦這個核心文件被惡意下載,那么網(wǎng)站幾乎就等于將控制權拱手讓人了。常見的數(shù)據(jù)庫文件安全措施有以下三種。一、

電子商務網(wǎng)站的安全

(一)電子商務網(wǎng)站的安全隱患與安全需求2.網(wǎng)站后臺數(shù)據(jù)庫的安全一、電子商務網(wǎng)站的安全

(一)(1)設置本機中的數(shù)據(jù)庫安全策略(適合于大網(wǎng)站,自己擁有獨立的WEB服務器)如果能夠控制服務器(以xp系統(tǒng)為環(huán)境),使用如下方法,能夠徹底避免數(shù)據(jù)庫文件被下載的方法。步驟1:首先,依次單擊“開始”一“管理工具”一“Internet信息服務(IIS)管理器”菜單,打開如圖所示的對話框。在這里需要右鍵單擊數(shù)據(jù)庫文件(cib.mdb),在彈出的菜單中選擇“屬性”。(1)設置本機中的數(shù)據(jù)庫安全策略(適合于大網(wǎng)站,自己擁有獨立電子商務網(wǎng)站的安全管理課件步驟2:在彈出的對話框中,勾選“重定向到URL”項,并在“重定向”欄中輸入當前網(wǎng)站的網(wǎng)址(或任意網(wǎng)址),如圖所示。步驟2:在彈出的對話框中,勾選“重定向到URL”項,并在“重如此操作之后,如果再有人試圖用“/db.mdb”文件,那么將自動訪問重定向的網(wǎng)址,而不會執(zhí)行db.mdb這個數(shù)據(jù)庫文件的下載操作。如此操作之后,如果再有人試圖用“http://127.0.0(2)購買空間的安全策略(適合于小網(wǎng)站,WEB服務器是租用的空間)把數(shù)據(jù)庫放在Web目錄之外。也就是說,不把數(shù)據(jù)庫放在可以直接被訪問的Web目錄之內,這可以說是最保險的方法。下面,以某個購買的網(wǎng)站空間為例,講解一下具體實現(xiàn)的方法:(2)購買空間的安全策略(適合于小網(wǎng)站,WEB服務器是租用的步驟1:首先,使用FTP方式登錄到網(wǎng)站的空間根目錄下。此時,可以看到有如圖所示的多個目錄。步驟1:首先,使用FTP方式登錄到網(wǎng)站的空間根目錄下。此時,步驟2:在這里,Web目錄用于存儲網(wǎng)站的內容。Db目錄就是空間服務商提供的用于存儲數(shù)據(jù)庫文件的地方。由于DB這個目錄不能被來訪者通過URL地址訪問到,進而就杜絕了數(shù)據(jù)庫文件被惡意下載的可能。步驟2:在這里,Web目錄用于存儲網(wǎng)站的內容。Db目錄就是空步驟3:接著,需要在設計網(wǎng)站時將數(shù)據(jù)庫連接文件中的路徑指向到db目錄。步驟4:最后,把cib1.mdb文件復制到db目錄中就可以了。步驟3:接著,需要在設計網(wǎng)站時將數(shù)據(jù)庫連接文件中的路徑指向到(3)特殊文件名法(適用于所有網(wǎng)站)如果購買的網(wǎng)站空間中沒有提供DB、Web等目錄,那么建議使用更改數(shù)據(jù)庫文件名的方法來實現(xiàn)數(shù)據(jù)庫的安全。有一些網(wǎng)站認為把數(shù)據(jù)庫文件的擴展名修改為.asp(如123.asp),就可以保障數(shù)據(jù)庫不被下載了,其實這不完全正確,用特殊的下載工具還是可以被下載的。在如圖所示中可以看到這樣的數(shù)據(jù)庫文件,是無法通過IE瀏覽器瀏覽的。(3)特殊文件名法(適用于所有網(wǎng)站)電子商務網(wǎng)站的安全管理課件但是,這樣的asp文件用迅雷卻是可以被下載的,如圖所示。但是,這樣的asp文件用迅雷卻是可以被下載的,如圖所示。在系統(tǒng)下載文件完成后,只需把文件名再改成mdb,就可以正常使用Access對文件進行編輯了。顯然,我們需要換一種方法。正確的更名做法是在數(shù)據(jù)庫文件名添加#符號,如“#aa.asp”,這樣無論是舊還是迅雷等下載工具都不會將這個文件下載到本地了,如圖示。在系統(tǒng)下載文件完成后,只需把文件名再改成mdb,就可以正常使當然,修改數(shù)據(jù)庫文件名稱后,conn.asp這樣的數(shù)據(jù)庫路徑設置文件中的文件名也需要做相應的修改,如圖所示。當然,修改數(shù)據(jù)庫文件名稱后,conn.asp這樣的數(shù)據(jù)庫路徑通過添加特殊的字符,可以讓數(shù)據(jù)庫文件路徑即使不憤暴露,也能不被惡意下載。通常,數(shù)據(jù)庫文件名會被修改#aa.asp這樣的類型,這樣既具備了一定的欺騙性,又可以起到很好的防止下載效果。通過添加特殊的字符,可以讓數(shù)據(jù)庫文件路徑即使不憤暴露,也能不3.代碼漏洞問題代碼漏洞有很多形式,如數(shù)據(jù)庫連接錯誤導致Web服務器錯誤提示,而這些錯誤提示中可能會含有數(shù)據(jù)庫或表等重要信息。又例如后臺程序只有主程序驗證了管理員的身份信息,而其他頁面忽視了身份驗證,使得非法用戶可以繞過登錄而直接打開后臺的某個管理頁面。3.代碼漏洞問題4.網(wǎng)站數(shù)據(jù)庫安全管理的措施網(wǎng)站管理員主要要做兩件事,最重要的一件事,當然是對客戶端提交的變量參數(shù)進行仔細地檢測。對客戶端提交的變量進行檢查以防止SQL注入攻擊。二是給用戶密碼加密。比如用MD5加密。MD5是沒有反向算法,不能解密的。人家即使知道經(jīng)加密后存在數(shù)據(jù)庫里的像亂碼一樣的密碼,他也沒辦法知道原始密碼了。

4.網(wǎng)站數(shù)據(jù)庫安全管理的措施4.網(wǎng)站數(shù)據(jù)庫安全管理的措施網(wǎng)站管理員還應在IIS中為每個網(wǎng)站設置好執(zhí)行權限,可千萬別給人家靜態(tài)網(wǎng)站以“腳本和可執(zhí)行”權限。一般情況下給個“純腳本”權限就夠了,對于那些通過網(wǎng)站后臺管理中心上傳的文件存放的目錄,就更吝嗇一點吧,執(zhí)行權限設為“無”好了,這樣做是為了防止人家上傳ASP木馬,執(zhí)行權限設為“無”,人家上傳ASP木馬也運行不了。4.網(wǎng)站數(shù)據(jù)庫安全管理的措施4.網(wǎng)站數(shù)據(jù)庫安全管理的措施一般情況下,SQL注入漏洞僅是涉及一個網(wǎng)站安全的事,如果人家通過這個漏洞上傳了ASP木馬并運行起來,那整個服務器都失陷了。所以有遠見的、有責任心的服務器管理員應該十分吝嗇的配置IIS的執(zhí)行權限。

4.網(wǎng)站數(shù)據(jù)庫安全管理的措施5.防止利用SQL注入漏洞進行SQL注入攻擊SQL注入攻擊是黑客對數(shù)據(jù)庫進行攻擊的常用手段之一。由于程序員的水平及經(jīng)驗也參差不齊,相當大一部分程序員在編寫代碼的時候,沒有對用戶輸入數(shù)據(jù)的合法性進行判斷,使應用程序存在安全隱患。用戶可以提

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經(jīng)權益所有人同意不得將文件中的內容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內容本身不做任何修改或編輯,并不能對任何下載內容負責。
  • 6. 下載文件中如有侵權或不適當內容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論