电子商务网络交易安全问题特征分析

本文ID：63368

点击下载: 电子商务网络交易安全问题特征分析 (收费:50 积分) 如何获取积分?

电子商务网络交易安全问题特征分析
[摘要]每次病毒的大规模爆发，似乎都给Microsoft狂念了一通“紧箍咒”。在天才少年和老牌黑客密集攻击下，Windows的2003磕磕绊绊。截至2003年12月31日止， Microsoft主页所发布的安全公告已达51次。近年来这一现象始终存在。此情此景，让用户开始重新审视Windows的安全问题。由于企业对Windows系统的依赖性且我国电子商务的主要使用者就是企业，所以Windows的安全性对于电子商务的发展有着重要影响。因此本文为您剖析电子商务基于Windows的可行性安全解决方案，希望通过大家的共同努力，建立起更安全的网络交易环境
[关键字]安全漏洞保密措施防火墙   SUS 扫描工具
     本文首先为网络交易安全问题提出四点核心问题：
一.怎样看待频繁出现的安全漏洞？
安全漏洞是指由於系統存在的弱點或缺陷而導致的系統對一個特定的威脅攻擊或危險事件的敏感性，或導致對系統進行攻擊的威脅作用的可能性。通過對系統的掃瞄，瑞星漏洞掃瞄工具可以找出電腦系統存在的安全漏洞，通過下載相應的漏洞補丁程式而進行系統修復後，將會提高電腦系統的安全性和穩定性，從而避免病毒、黑客和惡意程式的攻擊。
对安全漏洞这一名词有了了解之后，又如何去看待频繁出现的安全漏洞这一问题呢？
网络安全的核心目标是保障业务系统的可持续性和数据的安全性，而这两点的主要威胁来自于蠕虫的暴发、黑客的攻击、拒绝服务攻击、木马。蠕虫、黑客攻击问题都和漏洞紧密联系在一起，一旦有重大安全漏洞出现，整个互联网就会面临一次重大挑战。虽然传统木马和安全漏洞关系不大，但最近很多木马都巧妙的利用了IE的漏洞，让你在浏览网页时不知不觉的就中了招。
    安全漏洞的定义已经有很多了，一个通俗的说法就是：能够被利用来干“原本以为”不能干的事，并且和安全相关的缺陷。这个缺陷可以是设计上的问题、程序代码实现上的问题。
安全漏洞可分为：
1、内存覆盖，主要为内存单元可指定，写入内容可指定，这样就能执行攻击者想执行的代码（缓冲区溢出、格式串漏洞、PTrace漏洞、历史上Windows2000的硬件调试寄存器用户可写漏洞）或直接修改内存中的机密数据。
2、逻辑错误，这类漏洞广泛存在，但很少有范式，所以难以查觉，可细分为：  条件竞争漏洞（通常为设计问题，典型的有Ptrace漏洞、广泛存在的文件操作时序竞争）
3、权限视角：主要为权限绕过或权限提升。通常权限提升都是为了获得期望的数据操作能力。
4、认证绕过：通常利用认证系统的漏洞而不用受权就能进入系统。通常认证绕过都是为权限提升或直接的数据访问服务的。
5、代码执行角度：主要是让程序将输入的内容作为代码来执行，从而获得远程系统的访问权限或本地系统的更高权限。这个角度是SQL注入、内存指针游戏类漏洞（缓冲区溢出、格式串、整形溢出等等）等的主要驱动。这个角度通常为绕过系统认证、权限提升、数据读取作准备的。
以远程漏洞为例，比较好的划分方法为：
可远程获取OS、应用程序版本信息。
开放了不必要或危险得服务，可远程获取系统敏感信息。
可远程进行受限的文件、数据读取。
可远程进行重要或不受限文件、数据读取。