电子商务安全题目初探(3)
2015-01-29 01:04
导读:3.对服务器的安全威胁 客户端、因特网和服务器的电子商务链上第三个环节是服务器。对企图破坏或非法获取信息的人来说,服务器有很多弱点可被利用。
3.对服务器的安全威胁
客户端、因特网和服务器的电子商务链上第三个环节是服务器。对企图破坏或非法获取信息的人来说,服务器有很多弱点可被利用。其中一个进口是WEB服务器及其软件,其他进口包括任何有数据的后台程序,如数据库和数据库服务器。也许最危险的进口是服务器上的公用网关接口(common gateway inte***ce, CGI)程序或其他工具程序。
3.1 对WEB服务器的安全威胁
大多数计算机上所运行的WEB服务器可在不同权限下运行。在大多数情况下,WEB服务器提供的是在低权限下能完成的普通服务和任务。假如WEB服务器在高权限下运行,破坏者就可利用WEB服务器的能力执行高权限的指令。另外,当WEB服务器要求你输进用户名和口令时,其安全性也会大打折扣。当你访问同一WEB服务器上受保护区域内的多个页面时,用户名和口令就可能被泄露。由于WEB是无状态的,记录用户名和口令的最方便的方式就是将用户的保密信息存在他计算机上的cookie里,这样服务器就可以请求计算机发出cookie的方式来请求得到确认。这时会出现麻烦,由于cookie信息可能是以不安全的方式传输,从而被窃取者复制。
3.2 对数据库的安全威胁
电子商务系统以数据库存储用户数据,并可从WEB服务器所连的数据库中检索产品信息。数据库除存储产品信息外,还可能保存有价值的信息或隐私信息,假如被更改或泄露会对公司带来无法弥补的损失。现在大多数大型数据库都使用基于用户名和口令的安全措施,一旦用户获准访问数据库,就可查看数据库中相关内容。假如有人得到用户的认证信息,他就能伪装成正当的数据库用户来下载保密的信息。隐躲在数据库系统里的特洛伊木马程序可通过将数据权限降级来泄露信息。数据权限降级是指将敏感信息发到未保护的区域,使每个人都可使用。当数据权限降级后,所有用户都可访问这些信息,其中当然包括那些潜伏的侵进者。
(转载自http://zw.nseac.coM科教作文网) 3.3 对公用网关接口的安全威胁
公用网关接口(CGI)可以实现从WEB服务器到另一个程序的信息传输。CGI和接收它所传输数据的程序为网页提供了活动内容。同WEB服务器一样,CGI脚本能以高权限来运行。因此,能自由访问系统资源的有恶意的CGI程序能够使系统失效、调用删除文件的系统程序或查看顾客的保密信息。当程序设计职员发现CGI程序中的错误时,会重编这个程序以替换以前的版本。而未删除的CGI旧版本则为系统留下了安全漏洞,由于有心人能够追踪到这些废弃的CGI脚本,检查这些程序以了解其弱点,然后利用这些弱点来访问WEB服务器及其资源。同JavaScript不一样,CGI脚本的运行不受Java运行程序安全的限制。
3.4 对其他程序的安全威胁
对WEB服务器的攻击可能来自服务器上所运行的程序,通过客户端传输给WEB服务器或直接驻留在服务器上的Java或C 程序需要经常使用缓存。而缓存的题目在于向缓存发送数据的程序可能会出错,导致缓存溢出,缓存溢出会导致数据或指令替换了内存指定区域外的内容。有恶意的程序所引起的破坏叫做故意的拒尽攻击。从某种意义来说,因特网蠕虫就是这样的程序。另一种类似的攻击是将多余的数据发给一个服务器,这种攻击叫做邮件炸弹,即数以千计的人将同一消息发给一个电子邮件地址。邮件炸弹的目标电子邮件地址收到大量的邮件,超出了所答应的邮件区域限制,导致邮件系统堵塞或失效。邮件炸弹看起来和垃圾邮件很相似,但实际上完全相反。某人或某个组织将同一邮件发给多人称为发送垃圾邮件,垃圾邮件很大程度上只是令人讨厌,但不会带来安全威胁。
小 结
电子商务的安全题目是利害攸关的,安全遭到破坏会使他人信息泄露或导致信息滥用。电子商务安全策略必须明确陈述保密、完整、即需和知识产权的要求。对电子商务的安全威胁会发生在由客户端到电子商务服务器的电子链条上的任何地方,假如在电子商务客户端和服务器上没有充分的安全保护措施,电子商务就不能持久。因此,制定有效的安全策略和建立全方位的安全体系是保护电子商务交易的惟一方法。
