《电子商务安全》 第6章：电子商务网站安全.pptx

电子商务安全

01 电子商务安全概述02 密码学基础理论全书导航03 网络安全技术04 数据库安全05 网络支付安全07 移动应用安全06 电子商务网站安全08 电子商务安全管理

电子商务网站安全第6章

2020年12月，济南市警方成功破获一起疯狂攻击网站并实施勒索的案件：3名犯罪嫌疑人在40多天的时间里攻击网站60余家，敲诈得手28家，非法获利14万余元。引导案例：黑客攻击电商网站并索要“茶水费”攻击网站涉嫌破坏计算机信息系统罪，根据《刑法》第二百八十六条之规定，后果严重的，处五年以下有期徒刑或者拘役；后果特别严重的，处五年以上有期徒刑。而攻击后索要“茶水费”涉嫌敲诈勒索罪，根据《刑法》第二百七十四条之规定，数额较大或者多次的，处三年以下有期徒刑、拘役或者管制；数额巨大的，处三至十年有期徒刑；数额特别巨大的，处十年以上有期徒刑，且均处罚金。

01网站安全概述02Apache安全分析与增强03IIS安全分析与增强Contents04网站安全技术方案

01网站安全概述

网站安全概述网站安全的基本概念机密性指网站信息和数据未经授权不被查看或泄露。可用性指网站能连续不间断地响应用户的正常服务请求并向用户提供服务。完整性指网站信息和数据不被未授权修改，网站服务不被劫持。可控性指网站责任主体和运营者能管理和控制网站，使网站不被恶意利用。

网站后台管理安全威胁拒绝服务攻击网站假冒网站安全概述网站安全分析电子商务网站面临的主要安全威胁恶意代码数据泄露网页篡改未授权访问

网站安全概述电子商务网站面临的安全威胁未授权访问：网站认证机制存在的安全缺陷，导致网站服务和数据遭到未授权访问。例如，攻击者会利用口令猜测和“撞库”攻击等手段获取网站的访问权限。

网站安全概述电子商务网站面临的安全威胁网页篡改：网站相关组件存在的安全缺陷，导致网站页面遭到攻击者恶意篡改。例如，攻击者利用某网站页面的文件上传功能所存在的漏洞上传恶意信息。又如，攻击者利用Web服务器操作系统的远程访问漏洞非法访问服务器并修改网页文件等。

网站安全概述电子商务网站面临的安全威胁数据泄露：网站访问控制措施设置不当，导致外部未授权用户访问敏感数据。例如，攻击者利用Web应用程序中出现的SQL注入漏洞对网站实施SQL注入攻击，从而实现从外部下载网站的后台数据。

恶意代码：攻击者通过网站挂马，导致网站用户的账号密码和个人信息泄露、计算机感染木马等。网站安全概述电子商务网站面临的安全威胁网站挂马是指攻击者先通过SQL注入攻击、网站敏感文件扫描、服务器漏洞、零日漏洞等攻击方法获取网站控制权限，然后将恶意代码植入网站的网页中，最终实现对网站访问者的攻击。知识库例如，攻击者完成对某网站的挂马后，访问该网站的用户会自动下载并执行木马程序，导致计算机被攻击者控制。又如，用户向挂马网站发送访问请求后，网站会将用户请求重定向到攻击网站，从而引导用户访问由攻击者控制的攻击网站。

网站安全概述电子商务网站面临的安全威胁网站假冒：攻击者利用网站域名欺骗、网站域名劫持和中间人攻击等手段引诱网站用户进入假冒网站，从而获取用户隐私信息或提供恶意服务。例如，攻击者假冒了某网上银行域名，使用户在不知真伪的情况下登录网站并按要求输入账号和密码，窃取了用户的银行账号信息。又如，网络钓鱼者通过在用户和网站服务器之间架设代理服务器实施中间人攻击，由于用户和网站服务器之间的通信均需要经过代理服务器方可进行，因此用户的私人数据会被网络钓鱼者窃取，且网络钓鱼者还可以修改或伪造数据。

网站安全概述电子商务网站面临的安全威胁拒绝服务攻击：拒绝服务攻击利用目标网站带宽资源有限和TCP/IP协议存在的安全缺陷对目标网站进行攻击，从而使授权用户无法正常获取网站服务。针对网站的常见拒绝服务攻击UDP洪水（UDPflood）ICMP洪水（ICMPflood）SYN洪水（SYNflood）HTTP洪水（HTTPflood）1234

网站安全概述电子商务网站面临的安全威胁网站后台管理安全威胁：网站后台管理系统是网站的控制中心，一旦失控，网站安全将难以保证。网站后台管理安全威胁管理员账号后台管理程序内部管理权限常见的网站后台管理问题如下。（1）网站管理员的账号和口令被盗。（2）后台管理网页存在安全漏洞。（3）内部管理权限分配不够合理。知识库

网站安全概述网站运行维护需要建立相应的组织管理体系并配备相应的安全运维工具与平台。作为业务运行的承载平台，网站的相关业务必须满足国家对内容安全、等级保护、安全测