隨著互聯(lián)網(wǎng)的不斷普及與發(fā)展.作為一個企業(yè),在互聯(lián)網(wǎng)上建立自己的網(wǎng)站,更顯而易見的就是可以向世界展示自己的企業(yè)風(fēng)采,讓更多人了解自己的企業(yè).使企業(yè)能夠在公眾知名度上有一定的提升,并通過網(wǎng)站進(jìn)行企業(yè)的內(nèi)部管理和開展電子商務(wù)活動。因此,電子商務(wù)網(wǎng)站成為企業(yè)活動的一個重要組成部分,而如何提高網(wǎng)站的**,抵抗黑客非法入侵,避免企業(yè)信息泄漏給企業(yè)帶來的損失是目前電子商務(wù)中的重要一環(huán).下文分析了目前對國內(nèi)電子商務(wù)網(wǎng)站**的常見問題.希望能引起相關(guān)企業(yè)的重視。
一、服務(wù)器**問題及對策
電子商務(wù)中前幾要的問題是網(wǎng)站W(wǎng)EB服務(wù)器的使用,通常情況下,開展電子商務(wù)的企業(yè)會采用自建服務(wù)器方案來完成電子商務(wù)的各項功能,因此為了電子商務(wù)網(wǎng)站的特殊需要企業(yè)會自己租用通信專線,架設(shè)WEB服務(wù)器。
1.WEB服務(wù)器上的**漏洞。WEB服務(wù)器上的漏洞可以從以下幾方面考慮:
(1)在WEB服務(wù)器上你不讓人訪問的秘密文件、目錄或重要數(shù)據(jù)。(2)從遠(yuǎn)程用戶向服務(wù)器發(fā)送信息時,特別是信用卡之類東西時.中途遭不法分子非法攔截。(3)WEB服務(wù)器本身存在一些漏洞使得一些人能侵入到主機(jī)系統(tǒng).破壞一些重要的數(shù)據(jù).甚至造成系統(tǒng)癱瘓。(4)WEB服務(wù)器的一些擴(kuò)展組件存在漏洞,可能導(dǎo)致網(wǎng)絡(luò)**和信息泄漏。(5)還有一些簡單的從網(wǎng)上下載的WEB~JE務(wù)器.沒有過多考慮到一些**因素.不能用作商業(yè)應(yīng)用。因此.不管是配置服務(wù)器.還是在編寫網(wǎng)站程序時都要注意系統(tǒng)的**性。盡量堵住任何存在的漏洞.創(chuàng)造**的環(huán)境。
2.WEB服務(wù)器**措施
(1)對WEB~JE務(wù)軟件經(jīng)常進(jìn)行升級.安裝相應(yīng)的**補(bǔ)丁,可以更大限度的堵住系統(tǒng)漏洞。(2)限制在WEB~JE務(wù)器開賬戶.在口令長度及定期更改方面做出要求.防止被盜用.定期刪除一些斷進(jìn)程的用戶。(3)盡量去掉無用的WEB組件.防止被他人非法利用。(4)盡量使FTPMAIL等服務(wù)器與之分開.去掉ftp.sendmail.tftp.NIS.NFS.finger.netstat等~些無關(guān)的應(yīng)用。(5)在WEB服務(wù)器上去掉一些更對不用的如SHELL之類的解釋器即當(dāng)在你的CGI的程序中沒用到PERL時就盡量把PERL在系統(tǒng)解釋器中刪除掉。(6)定期查看服務(wù)器中的日志logs文件,分析一切可疑事件。(7)設(shè)置好WEB服務(wù)器上系統(tǒng)文件的權(quán)限和屬性,對可讓人訪問的文檔分配一個公用的組,如www,并只分配它只讀的權(quán)利。把所有的HTML文件歸屬www組,由WEB管理員管理www組。對于WEB的配置文件僅對WEB管理員有寫的權(quán)利。(8)有些WEBBE務(wù)器把w田的文檔目錄與FTP目錄指在同一目錄時應(yīng)該注意不要把FTP的目錄與CGI-BIN指定在一個目錄之下。這樣是為了防止一些用戶通過FTP上載一些如PERL或sH之類程序.并用WEB的CGIBIN去執(zhí)行,造成不良后果。(9)通過限制許可訪問用戶JP或DNS(10)通過殺毒軟件和防火墻保證服務(wù)器**。
二、網(wǎng)站程序**問題及對策
電子商務(wù)網(wǎng)站程序的**是許多企業(yè)忽視的問題,也是嚴(yán)重導(dǎo)致企業(yè)信息泄漏的更主要的途徑之一。
1代碼漏洞**問題。產(chǎn)生這種漏洞的主要原因是網(wǎng)站程序代碼編寫的不完善造成的.而這種不完善的代碼更有可能會暴露網(wǎng)站的數(shù)據(jù)庫或后臺管理等重要的**信息(下文均以ASP為例)。(1)數(shù)據(jù)庫連接字串的某些錯誤導(dǎo)致WEBI~.務(wù)器錨誤提示,而這些錯誤提示中可能會含有數(shù)據(jù)庫或表等重要信息。(2)企業(yè)后臺管理程序中只有主程序要求管理員的身份信息,而其它管理頁面卻忽視了身份驗證信息,這種疏忽使非法用戶可能通過直接輸入后臺的某個管理頁面的形式進(jìn)入到后臺管理中去,如果正好有管理員密碼修改的頁面出現(xiàn)此問題,則會導(dǎo)致網(wǎng)站后臺的完全暴露。(3)對頁面參數(shù)不作任何判定導(dǎo)致所謂的SQLInjection,即SQL注入從而泄漏用戶信息。這種**漏洞是2004年以來網(wǎng)站信息**的更大隱患,而國內(nèi)許多電子商務(wù)網(wǎng)站并沒有采取相應(yīng)的**措施,導(dǎo)致電子商務(wù)網(wǎng)站很容易被攻破。
2.后臺管理程序文件的**問題?,F(xiàn)在大多數(shù)企業(yè)采用后臺管理的方式對電子商務(wù)網(wǎng)站進(jìn)行管理,電子商務(wù)網(wǎng)站后臺的入13**是很多企業(yè)忽視的問題。比如許多電子商務(wù)網(wǎng)站后臺入13通常會采用Admin.a(chǎn)spIogin.a(chǎn)sp、Iogout.a(chǎn)sp等常見形式.也有的網(wǎng)站竟然在網(wǎng)面上鏈接出管理入13,這樣,非法用戶很容易就能找到網(wǎng)站的后臺管理入13,成為電子商務(wù)網(wǎng)站**的重大隱患對于以上**問題的解決方法是更改網(wǎng)站的后臺入13路徑.更好是設(shè)定一個不易被猜解到的目錄和文件名,同時盡可能不要在前臺頁面上暴露出后臺的管理入13。3弱13令和13令加密**問題。盡管大多數(shù)企業(yè)認(rèn)識到了13令的**問題,但還是有不少的企業(yè)忽視了這個問題。(1)網(wǎng)站管理13令**問題。①弱13令問題。有些管理員為了記憶方便.會以Admin、Admin888managerwebmaster等作為管理員的用戶名.同樣,也有用AdminAdmin88812345888888等來作為管理員密碼,數(shù)據(jù)庫以sA為用戶名,留空密碼等,這些弱13令是很容易被黑客猜測到的。②明文密碼問題。很多企業(yè)的管理員密碼都采用明文來保存,這樣的明文密碼是更不**的因素之一,通過SQL注入很容易就能獵取數(shù)據(jù)庫中的明文密碼。③簡單13令加密問題。一些網(wǎng)站設(shè)計人員有時只是對13令進(jìn)行簡單的對稱加密.這種經(jīng)過簡單的對稱加密密文用現(xiàn)在的Pc機(jī)器可以在較短的時間內(nèi)解密成明文,因此也是不可取的。(2)網(wǎng)站管理13令**策略。①杜更使用弱口令,以避免**隱患,可以采用字母+數(shù)字+符號字符,并超過8位以上的密碼。②強(qiáng)制對所有用戶密碼加密,更好采用非對稱加密或采用不可逆的運(yùn)算,如使用32位的MD5碼。
三.?dāng)?shù)據(jù)庫**問題
根據(jù)國內(nèi)相關(guān)調(diào)查顯示,國內(nèi)的網(wǎng)站用ASP+Access或SQLServer的占7o%以上.PHP+MySQL占2O%其他的不足1O%。而數(shù)據(jù)庫是一個電子商務(wù)網(wǎng)站的核心,因此數(shù)據(jù)庫的**也成為電子商務(wù)網(wǎng)站**的前幾要問題。
1.?dāng)?shù)據(jù)庫位置和名稱**。以往許多網(wǎng)站設(shè)計人員會把數(shù)據(jù)庫放在Data或Database等目錄下.對數(shù)據(jù)庫的 文件名也通常采用Data、Mydata、Database、DataShq0等.這種做法很容易被非法用戶猜解到并下載用戶數(shù)據(jù)庫.從而使電子商務(wù)網(wǎng)站的所有數(shù)據(jù)被竊取。解決方案:可以采用字母+數(shù)字并超過8位的組合作為數(shù)據(jù)文件目錄或文件名,對于Access文件更好更改其擴(kuò)展名.MDB為ASP以加強(qiáng)**性。
2.?dāng)?shù)據(jù)庫結(jié)構(gòu)**問題(1)數(shù)據(jù)表的命名問題。為了**需要,不要直接用類似Admin、User、Product等作為表名,可以使用XX—Admin—XX等形式,用字母和數(shù)宇組合作為表名的前后綴,以防止SQL注入時被猜解出表名。(2)數(shù)據(jù)宇段的命名問題。同樣在數(shù)據(jù)字段命名時,也不要直接用Admin、UserName、用戶名、密碼Passwor、Pwd、UserPwd等作為敏感字段名,可以采用一些難以猜解的字母和數(shù)宇組合來作為字段名以加強(qiáng)數(shù)據(jù)的**性。(3)數(shù)據(jù)庫權(quán)限**問題盡量不要把數(shù)據(jù)庫密碼留空或使用弱13令作為數(shù)據(jù)庫密碼,合理使用1O位以上的數(shù)據(jù)庫密碼會進(jìn)一步加強(qiáng)數(shù)據(jù)庫的**。
3.?dāng)?shù)據(jù)庫連接宇串**問題
這類**問題主要是兩個方面;一是在數(shù)據(jù)庫連接字串中不直接出現(xiàn)明文密碼,采用對稱加密密碼可以提高數(shù)據(jù)庫的**二是數(shù)據(jù)連接文件不要用常見的Conn、DbConn作為文件名,避免使用.inc.a(chǎn)sa、txt作為擴(kuò)展名,同時也不要把文件放在類似Inc、Data、Conn等目錄下,以防數(shù)據(jù)庫連接被非法下載。
4結(jié)束語。
所謂魔高一尺;道高一丈:從網(wǎng)絡(luò)**技術(shù)本質(zhì)上講.就是“攻”與”防的技術(shù)。對于企業(yè)網(wǎng)絡(luò)**,亡羊補(bǔ)牢”和“防患于未然”同樣重要。筆者在撰寫本文時對國內(nèi)部分電子商務(wù)網(wǎng)站進(jìn)行相應(yīng)**測試發(fā)現(xiàn),目前國內(nèi)大多數(shù)電子商務(wù)網(wǎng)站都存在著上述的**問題,有的電子商務(wù)網(wǎng)站甚至存在大量的**隱患,如某大型制藥企業(yè)的網(wǎng)站.就存在上述的所有漏洞。因此,作為電子商務(wù)網(wǎng)站管理員,一方面要加強(qiáng)**防范措施.防患于未然;另一方面也要經(jīng)常對自己的網(wǎng)站進(jìn)行**測試,查看網(wǎng)站運(yùn)行日志文件,亡羊補(bǔ)牢,為時未晚,把**損失降到更低讓電子商務(wù)網(wǎng)站真正成為企業(yè)提供****的信息服務(wù)。
電子商務(wù)網(wǎng)站建設(shè)中的**問題研究,歡迎合作。
查看更多寧波網(wǎng)站制作公司網(wǎng)站建設(shè)中電子商務(wù)**問題