1、電子商務(wù)網(wǎng)站的安全管理一、 電子商務(wù)網(wǎng)站的安全（一）電子商務(wù)網(wǎng)站的安全隱患與安全需求1電子商務(wù)網(wǎng)站面臨的安全隱患（1）信息的截獲和竊取。如果采用加密措施不夠，攻擊者通過互聯(lián)網(wǎng)、公共電話網(wǎng)在電磁波輻射范圍內(nèi)安裝截獲裝置或在數(shù)據(jù)包通過網(wǎng)關(guān)和路由器上截獲數(shù)據(jù)，獲取機密信息或通過對信息流量、流向、通信頻度和長度分析，推測出有用信息如消費者的銀行賬號、密碼以及企業(yè)的商業(yè)機密等，從而破壞信息的機密性。（2）信息的篡改。當(dāng)攻擊者熟悉網(wǎng)絡(luò)信息格式后，通過技術(shù)手段對網(wǎng)絡(luò)傳輸信息中途修改并發(fā)往目的地，破壞信息完整性。（3）信息假冒。當(dāng)攻擊者掌握網(wǎng)絡(luò)信息數(shù)據(jù)規(guī)律或解密商務(wù)信息后，假冒合法用戶或發(fā)送假冒信息欺騙其他用

2、戶。如釣魚網(wǎng)站就是指不法分子利用各種手段，假冒真實網(wǎng)站的URL地址以及頁面內(nèi)容，以此來騙取用戶銀行或信用卡賬號、密碼等私人資料。（4）交易抵賴。交易抵賴包括多方面，如發(fā)信者事后否認(rèn)曾發(fā)送信息、收信者事后否認(rèn)曾收到消息、購買者下了訂貨單不承認(rèn)、商家賣出的商品因價格差而不承認(rèn)原有的交易等。 2. 網(wǎng)站后臺數(shù)據(jù)庫的安全在網(wǎng)站運行過程中，最糟糕的就是數(shù)據(jù)庫文件被下載。一旦這個核心文件被惡意下載，那么網(wǎng)站幾乎就等于將控制權(quán)拱手讓人了。常見的數(shù)據(jù)庫文件安全措施有以下三種。一、 電子商務(wù)網(wǎng)站的安全（一）電子商務(wù)網(wǎng)站的安全隱患與安全需求步驟2：在彈出的對話框中，勾選“重定向到URL”項，并在“重定向”欄中輸入

3、當(dāng)前網(wǎng)站的網(wǎng)址(或任意網(wǎng)址)，如圖所示。（2）購買空間的安全策略（適合于小網(wǎng)站，WEB服務(wù)器是租用的空間）把數(shù)據(jù)庫放在Web目錄之外。也就是說，不把數(shù)據(jù)庫放在可以直接被訪問的Web目錄之內(nèi)，這可以說是最保險的方法。下面，以某個購買的網(wǎng)站空間為例，講解一下具體實現(xiàn)的方法：步驟1：首先，使用FTP方式登錄到網(wǎng)站的空間根目錄下。此時，可以看到有如圖所示的多個目錄。步驟2：在這里，Web目錄用于存儲網(wǎng)站的內(nèi)容。Db目錄就是空間服務(wù)商提供的用于存儲數(shù)據(jù)庫文件的地方。由于DB這個目錄不能被來訪者通過URL地址訪問到，進而就杜絕了數(shù)據(jù)庫文件被惡意下載的可能。（3）特殊文件名法（適用于所有網(wǎng)站）如果購買的網(wǎng)站

4、空間中沒有提供DB、Web等目錄，那么建議使用更改數(shù)據(jù)庫文件名的方法來實現(xiàn)數(shù)據(jù)庫的安全。有一些網(wǎng)站認(rèn)為把數(shù)據(jù)庫文件的擴展名修改為.asp(如123.asp)，就可以保障數(shù)據(jù)庫不被下載了，其實這不完全正確，用特殊的下載工具還是可以被下載的。在如圖所示中可以看到這樣的數(shù)據(jù)庫文件，是無法通過IE瀏覽器瀏覽的。在系統(tǒng)下載文件完成后，只需把文件名再改成mdb,就可以正常使用Access對文件進行編輯了。顯然，我們需要換一種方法。正確的更名做法是在數(shù)據(jù)庫文件名添加#符號，如“#aa.asp”，這樣無論是舊還是迅雷等下載工具都不會將這個文件下載到本地了，如圖示。當(dāng)然，修改數(shù)據(jù)庫文件名稱后，conn.asp這

5、樣的數(shù)據(jù)庫路徑設(shè)置文件中的文件名也需要做相應(yīng)的修改，如圖所示。通過添加特殊的字符，可以讓數(shù)據(jù)庫文件路徑即使不憤暴露，也能不被惡意下載。通常，數(shù)據(jù)庫文件名會被修改#aa.asp這樣的類型,這樣既具備了一定的欺騙性，又可以起到很好的防止下載效果。3. 代碼漏洞問題代碼漏洞有很多形式，如數(shù)據(jù)庫連接錯誤導(dǎo)致Web服務(wù)器錯誤提示，而這些錯誤提示中可能會含有數(shù)據(jù)庫或表等重要信息。又例如后臺程序只有主程序驗證了管理員的身份信息，而其他頁面忽視了身份驗證，使得非法用戶可以繞過登錄而直接打開后臺的某個管理頁面。4. 網(wǎng)站數(shù)據(jù)庫安全管理的措施網(wǎng)站管理員主要要做兩件事，最重要的一件事，當(dāng)然是對客戶端提交的變量參數(shù)進

6、行仔細地檢測。對客戶端提交的變量進行檢查以防止SQL注入攻擊。二是給用戶密碼加密。比如用MD5加密。MD5是沒有反向算法,不能解密的。人家即使知道經(jīng)加密后存在數(shù)據(jù)庫里的像亂碼一樣的密碼，他也沒辦法知道原始密碼了。4. 網(wǎng)站數(shù)據(jù)庫安全管理的措施網(wǎng)站管理員還應(yīng)在IIS中為每個網(wǎng)站設(shè)置好執(zhí)行權(quán)限，可千萬別給人家靜態(tài)網(wǎng)站以“腳本和可執(zhí)行”權(quán)限。一般情況下給個“純腳本”權(quán)限就夠了，對于那些通過網(wǎng)站后臺管理中心上傳的文件存放的目錄，就更吝嗇一點吧，執(zhí)行權(quán)限設(shè)為“無”好了，這樣做是為了防止人家上傳ASP木馬，執(zhí)行權(quán)限設(shè)為“無”，人家上傳ASP木馬也運行不了。5. 防止利用SQL注入漏洞進行SQL注入攻擊SQ

7、L注入攻擊是黑客對數(shù)據(jù)庫進行攻擊的常用手段之一。由于程序員的水平及經(jīng)驗也參差不齊，相當(dāng)大一部分程序員在編寫代碼的時候，沒有對用戶輸入數(shù)據(jù)的合法性進行判斷，使應(yīng)用程序存在安全隱患。用戶可以提交一段數(shù)據(jù)庫查詢代碼，根據(jù)程序返回的結(jié)果，獲得某些他想得知的數(shù)據(jù)，這就是所謂的SQL Injection，即SQL注入。SQL注入攻擊詳細解釋說明文檔/link?url=UyNTvBZee0ZGKSe7sDIPIWvSfOAhcMh5D39GS67F2N6OJNvPrYdNDKxQuC3HDXmU網(wǎng)站防范對策要把數(shù)據(jù)庫擴展名更名為.asa 等給用戶盡可能少的功能和權(quán)限 出錯信息越模糊越好 及時替換掉染毒頁面 定期修改密碼 系統(tǒng)出錯卓越上千元圖書只要25元 “昨晚卓越網(wǎng)上的書25元隨便買，有誰買了嗎？”“快搶啊，幾千塊的書只要25元”昨日凌晨，包括重慶、上海、北京在內(nèi)的網(wǎng)友不斷在泡泡網(wǎng)、開心網(wǎng)等論壇上發(fā)出上述帖子。一套全19冊宋元明清書目題跋叢刊的商品說明中顯示，其市場價為4600元，卓越網(wǎng)當(dāng)晚價格標(biāo)為25元，后面還提示“為您節(jié)省4575元”，而超級VIP價