|
||||
隨著互聯網的不斷普及與發展.作為一個企業,在互聯網上建立自己的網站,最顯而易見的就是可以向世界展示自己的企業風采,讓更多人了解自己的企業.使企業能夠在公眾知名度上有一定的提昇,並通過網站進行企業的內部管理和開展電子商務活動。因此,電子商務網站成為企業活動的一個重要組成部分,而如何提高網站的安全,抵抗黑客非法入侵,避免企業信息泄漏給企業帶來的損失是目前電子商務網站建設中的重要一環.本文分析了目前對國內電子商務網站安全的常見問題.希望能引起相關企業的重視。
一、服務器安全問題及對策電子商務網站建設中首要的問題是網站WEB服務器的使用,通常情況下,開展電子商務的企業會采用自建服務器方案來完成電子商務的各項功能,因此為了電子商務網站的特殊需要企業會自己租用通信專線,架設WEB服務器。
1、WEB服務器上的安全漏洞。WEB服務器上的漏洞可以從以下幾方面考慮:
(1)、在WEB服務器上你不讓人訪問的秘密文件、目錄或重要數據。
(2)、從遠程用戶向服務器發送信息時,特別是信用卡之類東西時.中途遭不法分子非法攔截。
(3)、WEB服務器本身存在一些漏洞使得一些人能侵入到主機系統.破壞一些重要的數據.甚至造成系統癱瘓。
(4)、WEB服務器的一些擴展組件存在漏洞,可能導致網絡安全和信息泄漏。
(5)、還有一些簡單的從網上下載的WEB服務器.沒有過多考慮到一些安全因素.不能用作商業應用。
因此,不管是配置服務器.還是在編寫網站程序時都要注意系統的安全性。盡量堵住任何存在的漏洞.創造安全的環境。
二、網站程序安全問題及對策電子商務網站程序的安全是許多企業忽視的問題,也是嚴重導致企業信息泄漏的最主要的途徑之一。
1、代碼漏洞安全問題。產生這種漏洞的主要原因是網站程序代碼編寫的不完善造成的.而這種不完善的代碼極有可能會暴露網站的數據庫或後臺管理等重要的安全信息(下文均以ASP為例)。
(1)、數據庫連接字串的某些錯誤導致WEB服務器錨誤提示,而這些錯誤提示中可能會含有數據庫或表等重要信息。
(2)、企業後臺管理程序中只有主程序要求管理員的身份信息,而其它管理頁面卻忽視了身份驗證信息,這種疏忽使非法用戶可能通過直接輸入後臺的某個管理頁面的形式進入到後臺管理中去,如果正好有管理員密碼修改的頁面出現此問題,則會導致網站後臺的完全暴露。
(3)、對頁面參數不作任何判定導致所謂的SQLInjection,即SQL注入從而泄漏用戶信息。這種安全漏洞是2004年以來網站信息安全的最大隱患,而國內許多電子商務網站並沒有采取相應的安全措施,導致電子商務網站很容易被攻破。
2、後臺管理程序文件的安全問題。現在大多數企業采用後臺管理的方式對電子商務網站進行管理,電子商務網站後臺的入口安全是很多企業忽視的問題。比如許多電子商務網站後臺入口通常會采用Admin.aspIogin.asp、Iogout.asp等常見形式.也有的網站竟然在網面上鏈接出管理入口,這樣,非法用戶很容易就能找到網站的後臺管理入口,成為電子商務網站安全的重大隱患對於以上安全問題的解決方法是更改網站的後臺入口路徑.最好是設定一個不易被猜解到的目錄和文件名,同時盡可能不要在前臺頁面上暴露出後臺的管理入口。弱口令和口令加密安全問題。盡管大多數企業認識到了口令的安全問題,但還是有不少的企業忽視了這個問題。
(1)、網站管理口令安全問題。
①弱口令問題。有些管理員為了記憶方便.會以Admin、Admin888managerwebmaster等作為管理員的用戶名.同樣,也有用AdminAdmin88812345888888等來作為管理員密碼,數據庫以sA為用戶名,留空密碼等,這些弱口令是很容易被黑客猜測到的。
②明文密碼問題。很多企業的管理員密碼都采用明文來保存,這樣的明文密碼是最不安全的因素之一,通過SQL注入很容易就能獵取數據庫中的明文密碼。
③簡單口令加密問題。一些網站設計人員有時只是對口令進行簡單的對稱加密.這種經過簡單的對稱加密密文用現在的Pc機器可以在較短的時間內解密成明文,因此也是不可取的。
(2)、網站管理口令安全策略。
①杜絕使用弱口令,以避免安全隱患,可以采用字母+數字+符號字符,並超過8位以上的密碼。
②強制對所有用戶密碼加密,最好采用非對稱加密或采用不可逆的運算,如使用32位的MD5碼。