简论安全机制数据安全的防范策略.docVIP

简论安全机制数据安全的防范策略 为了有效地避免隐患或者不安全数据、操作失误、计算机病毒、黑客攻击等导致的电子商务系统数据中心受损范围的扩大，电子商务的网络安全机制建构中的采用防范策略包括硬件安全防护和数据安全防护策略两个部分。现就数据安全防护策略做详细阐述。 一、操作系统安全 ????因为?WINDOWS?自身不断的被发现缺陷和漏洞，因此保证?WINDOWS?操作系统的健强和安全是整个电子商务安全的基石，这块最常用的基本方法是及时更新?WINDOWS?发布的补丁。我们定时在每天上午九点和下午一点和晚上六点对服务器端进行查看有无最新补丁，如果有则及时升级。 1)端口安全 ???为了避免因端口的打开而造成安全隐患，故我们根据用户需求，比如?WEB?只开放?80端口，及远程控制的?3389?端口，SQL?的?1433?端口。由于?SQL?的端口是经常黑客攻击的主要目标，因此我们实际使用的是?10001?端口。 ????2)远程访问安全 ??? 1、WINDOWS?GUEST?账号禁用； ??? 2、WINDOWS?ADMINISTRATOR?重命名； ??? 3、设置多个管理员账号； ??? 4、设置陷井的管理员账号； ??? 5、管理员密码的复杂度充分使用?ASCII?字符全集； ??? 6、定期修改管理员密码，通常一个月一周期； ??? 7、删除文件夹里的?EVERYONE?的访问权限； ??? 8、远程访问帐号过滤。? ????二、程序安全 ????在软件层面我们最常遇到的安全是以下四种情况，下文分别针对他们表达我们的实施方法。 ????1、Sq1?注入漏洞 ??? Sql?注入漏洞就是程序中直接拼接?Sql?语句，用户名:admin?密码:admin如果用户和密码正确就可通验证。如果我用户名:asdf?or?1=1--密码:随意输入。我们再来看语句:Code:?select*from?where?user=‘asdf’?or?1=1?and?pwd=”执行后可能会看到所有记录，如果程序只是简单判断返回的条数，这种方法就可以通验证。 ????如果执行语句是?SA?用户，再通过?xp_cmdshell?添加系统管理员，那么这个服务器就被击破了。 ????解决方法:更换?select?delete?update?等关键字?38疏忽?post?提交的信息采用?Sql?参数化来处理?Sql?语句的部分关键代码(C#实现)优房网曾于?2009?年?6?月?11?日遭受这种方式的攻击，攻击者在首页外挂了植入的网站，使用上述方法我们清除了此次攻击并杜绝了此类隐患。 ??? 2、CSS?(Cross-site?scripting)跨站脚本攻击 ??? 1)页面验证漏洞攻击 ??? 跨站脚本攻击利用网页验证漏洞注入客户端脚本.接下来这些代码被发送到受信任的客户端电脑上并被浏览器解释执行.因为这些代码来自受信任的站点，所以浏览器无 法得知这些代码是有害的。 ??? 2)含?Rich?Text?Editor?的页面处理方式 ??? 如果页面有富文本编辑器的控件的，那么必然会导致有xxx类的?HTML?标签提交回来（信息科技论文发表--论文发表向导网江编辑加扣二三三五一六二五九七）。在这种情况下，我们不得不使用?validateRequest=false。首先，我们将输入字符串用?HttpUtility.HtmlEncode()来编码，将其中的?HTML?标39签彻底禁止。 ????然后，我们再对我们所感兴趣的、并且是安全标签，通过?Replace()进行替换。比如，我们希望有“b”，标签，那么我们就将“；b；”显式的替换回“b”。这样我们即允许了部分?HTML?标签，又禁止了危险的标签。 我们禁用的标记如下: applet}?body?embed?frame?scripts?frameset}?html?iframe?img style?layer?link?ilayer?meta?objects ?? 3、RF?(?Cross-site?request?forgery?跨站请求伪造 ???攻击实例:以?Rich?TextBox?为载体。 ???为了整个系统的功能性，我们必须使用?Rich?TextBox，因为我们的内容呈现结果必须是?HTML?代码。 ???这一次请求返回了页面的基本?html?代码，紧接着根据第一次请求获得?HTMLde?代码分析里面的元素，对结果页面一运行，用户就自动退出了。其实迫使用户退出登录的原因在于那张图片。图片的?url?并没指向一个真正的图片而是“http:?//sh.?/Logout.?do，这个链接会向网站发出一个退出的请求。而这个请求是浏览器发出的。本例演示的就是最简单的请求伪造。 ?