| | 网站首页 | 电子商务 | 网站建设 | 节日节庆 | 毕业论文 | 图片中心 | 留言板 | 最新动态 | | |
|
|
 |
您现在的位置: 电子商务网 >> 电子商务 >> 电子商务实战能力 >> 网站建设 >> 正文 |
|
|||||
|
|||||
|
建立自己的网站,最显而易见的就是可以向世界展示自己的企业 风采,让更多人了解自己的企业,使企业能够在公众知名度上有 一定的提升,并通过网站进行企业的内部管理和开展电子商务活 动。因此,电子商务网站成为企业活动的一个重要组成部分,而 如何提高网站的安全,抵抗黑客非法入侵,避免企业信息泄漏给 企业带来的损失是目前电子商务网站建设中的重要一环,下文分 析了目前对国内电子商务网站安全的常见问题,希望能引起相关 企业的重视。 一、服务器安全问题及对策-电子商务的安全 电子商务网站建设中首要的问题是网站WEB 服务器的使用, 通常情况下,开展电子商务的企业会采用自建服务器方案来完成 电子商务的各项功能,因此为了电子商务网站的特殊需要企业会 自己租用通信专线,架设WEB 服务器。 1.WEB 服务器上的安全漏洞。WEB 服务器上的漏洞可以从以 下几方面考虑: (1)在WEB 服务器上你不让人访问的秘密文件、目录或重要 数据。(2)从远程用户向服务器发送信息时,特别是信用卡之类东 西时,中途遭不法分子非法拦截。(3)WEB服务器本身存在一些漏 洞,使得一些人能侵入到主机系统,破坏一些重要的数据,甚至 造成系统瘫痪。(4)WEB服务器的一些扩展组件存在漏洞,可能导 致网络安全和信息泄漏。(5)还有一些简单的从网上下载的WEB服 务器,没有过多考虑到一些安全因素,不能用作商业应用。 因此,不管是配置服务器,还是在编写网站程序时都要注意 系统的安全性。尽量堵住任何存在的漏洞,创造安全的环境。 2.WEB 服务器安全预防措施 www.dadaqq.com (1)对WEB服务软件经常进行升级,安装相应的安全补丁,可 以最大限度的堵住系统漏洞。(2)限制在WEB服务器开账户,在口 令长度及定期更改方面做出要求,防止被盗用,定期删除一些断 进程的用户。(3)尽量去掉无用的WEB 组件,防止被他人非法利 用。(4)尽量使FTP、MAIL等服务器与之分开,去掉ftp,sendmail, tftp,NIS, NFS,finger,netstat等一些无关的应用。(5)在WEB服务 器上去掉一些绝对不用的如SHELL之类的解释器,即当在你的CGI 的程序中没用到PERL时,就尽量把PERL在系统解释器中删除掉。 (6)定期查看服务器中的日志logs文件,分析一切可疑事件。(7)设 置好WEB服务器上系统文件的权限和属性,对可让人访问的文档 分配一个公用的组,如WWW,并只分配它只读的权利。把所有 的HTML 文件归属WWW 组,由WEB 管理员管理WWW 组。对于 WEB 的配置文件仅对WEB 管理员有写的权利。(8)有些WEB 服务器 把WEB的文档目录与FTP目录指在同一目录时,应该注意不要把 FTP的目录与CGI-BIN指定在一个目录之下。这样是为了防止一些 用户通过FTP 上载一些如PERL 或SH 之类程序,并用WEB 的CGIBIN 去执行,造成不良后果。(9)通过限制许可访问用户IP或DNS (10)通过杀毒软件和防火墙保证服务器安全。 二、网站程序安全问题及对策 电子商务网站程序的安全是许多企业忽视的问题,也是严重 导致企业信息泄漏的最主要的途径之一。 1.代码漏洞安全问题。产生这种漏洞的主要原因是网站程序 代码编写的不完善造成的,而这种不完善的代码极有可能会暴露 网站的数据库或后台管理等重要的安全信息(下文均以ASP为例)。 (1)数据库连接字串的某些错误导致WEB服务器错误提示,而 这些错误提示中可能会含有数据库或表等重要信息。(2)企业后台 管理程序中只有主程序要求管理员的身份信息,而其它管理页面 却忽视了身份验证信息,这种疏忽使非法用户可能通过直接输入 后台的某个管理页面的形式进入到后台管理中去,如果正好有管 理员密码修改的页面出现此问题,则会导致网站后台的完全暴露。 (3)对页面参数不作任何判定导致所谓的SQL Injection,即SQL注 入从而泄漏用户信息。这种安全漏洞是2004年以来网站信息安全 的最大隐患,而国内许多电子商务网站并没有采取相应的安全措 施,导致电子商务网站很容易被攻破。 2.后台管理程序文件的安全问题。现在大多数企业采用后台 管理的方式对电子商务网站进行管理,电子商务网站后台的入口 安全是很多企业忽视的问题。比如许多电子商务网站后台入口通 常会采用Admin.asp、login.asp、logout.asp等常见形式,也有的 网站竟然在网面上链接出管理入口,这样,非法用户很容易就能 找到网站的后台管理入口,成为电子商务网站安全的重大隐患。 对于以上安全问题的解决方法是更改网站的后台入口路径, 最好是设定一个不易被猜解到的目录和文件名,同时尽可能不要 在前台页面上暴露出后台的管理入口。 3.弱口令和口令加密安全问题。尽管大多数企业认识到了口 令的安全问题,但还是有不少的企业忽视了这个问题。 (1)网站管理口令安全问题。①弱口令问题。有些管理员为了 记忆方便,会以Admin、Admin888、manager、webmaster等作为管 理员的用户名,同样,也有用Admin Admin888 12345 888888等 来作为管理员密码,数据库以SA为用户名,留空密码等,这些弱 口令是很容易被黑客猜测到的。②明文密码问题。很多企业的管 理员密码都采用明文来保存,这样的明文密码是最不安全的因素 之一,通过SQL注入很容易就能猎取数据库中的明文密码。③简 单口令加密问题。一些网站设计人员有时只是对口令进行简单的 对称加密,这种经过简单的对称加密密文用现在的PC机器可以在 较短的时间内解密成明文,因此也是不可取的。(2)网站管理口令 安全策略。①杜绝使用弱口令,以避免安全隐患,可以采用字母 + 数字+ 符号字符,并超过8 位以上的密码。②强制对所有用户 密码加密,最好采用非对称加密或采用不可逆的运算,如使用32 位的MD5 码。 三、数据库安全问题 根据国内相关调查显示,国内的网站用ASP+Access 或 SQLServer 的占70% 以上,PHP+MySQL 占20%,其他的不足10%。 而数据库是一个电子商务网站的核心,因此数据库的安全也成为 电子商务网站安全的首要问题。 www.dadaqq.com 1.数据库位置和名称安全。以往许多网站设计人员会把数据 库放在Data或Database等目录下,对数据库的文件名也通常采用 Data、Mydata、Database、DataShop等,这种做法很容易被非法用户猜 解到并下载用户数据库,从而使电子商务网站的所有数据被窃取。 解决方案:可以采用字母+ 数字并超过8 位的组合作为数据 文件目录或文件名,对于Access文件最好更改其扩展名.MDB为. ASP 以加强安全性。 2.数据库结构安全问题 (1)数据表的命名问题。为了安全需要,不要直接用类似 Admin、User、Product 等作为表名,可以使用XX_Admin_XX等形 式,用字母和数字组合作为表名的前后缀,以防止SQL注入时被 猜解出表名。(2)数据字段的命名问题。同样,在数据字段命名时, 也不要直接用Admin、UserName、用户名、密码、Passwor、Pwd、 UserPwd等作为敏感字段名,可以采用一些难以猜解的字母和数字 组合来作为字段名以加强数据的安全性。(3)数据库权限安全问题 尽量不要把数据库密码留空或使用弱口令作为数据库密码,合理 使用10位以上的数据库密码会进一步加强数据库的安全。 3.数据库连接字串安全问题。这类安全问题主要是两个方面: 一是在数据库连接字串中不直接出现明文密码,采用对称加密密 码可以提高数据库的安全;二是数据连接文件不要用常见的Conn、 DbConn作为文件名,避免使用.inc、.asa、.txt作为扩展名,同时也 不要把文件放在类似Inc、Data、Conn等目录下,以防数据库连接 被非法下载。 |
|||||
| | 电子商务研究中心 | 图片地图 | 网站地图 | 友情链接 | 论文参考 | | |
 |
电子商务网站提供电子商务专业建设、电子商务课程研究、电子商务论文、网站建设、网络安全技术、网页素材、网络广告、求职指南、中英文在线翻译等相关内容。 qq:12531376 E-mail:click72@163.com |
