随着互联网的不断普及与发展.作为一个企业,在互联网上建立自己的网站,更显而易见的就是可以向世界展示自己的企业风采,让更多人了解自己的企业.使企业能够在公众知名度上有一定的提升,并通过网站进行企业的内部管理和开展电子商务活动。因此,电子商务网站成为企业活动的一个重要组成部分,而如何提高网站的**,抵抗黑客非法入侵,避免企业信息泄漏给企业带来的损失是目前电子商务中的重要一环.下文分析了目前对国内电子商务网站**的常见问题.希望能引起相关企业的重视。
一、服务器**问题及对策
电子商务中前几要的问题是网站WEB服务器的使用,通常情况下,开展电子商务的企业会采用自建服务器方案来完成电子商务的各项功能,因此为了电子商务网站的特殊需要企业会自己租用通信专线,架设WEB服务器。
1.WEB服务器上的**漏洞。WEB服务器上的漏洞可以从以下几方面考虑:
(1)在WEB服务器上你不让人访问的秘密文件、目录或重要数据。(2)从远程用户向服务器发送信息时,特别是信用卡之类东西时.中途遭不法分子非法拦截。(3)WEB服务器本身存在一些漏洞使得一些人能侵入到主机系统.破坏一些重要的数据.甚至造成系统瘫痪。(4)WEB服务器的一些扩展组件存在漏洞,可能导致网络**和信息泄漏。(5)还有一些简单的从网上下载的WEB~JE务器.没有过多考虑到一些**因素.不能用作商业应用。因此.不管是配置服务器.还是在编写网站程序时都要注意系统的**性。尽量堵住任何存在的漏洞.创造**的环境。
2.WEB服务器**措施
(1)对WEB~JE务软件经常进行升级.安装相应的**补丁,可以更大限度的堵住系统漏洞。(2)限制在WEB~JE务器开账户.在口令长度及定期更改方面做出要求.防止被盗用.定期删除一些断进程的用户。(3)尽量去掉无用的WEB组件.防止被他人非法利用。(4)尽量使FTPMAIL等服务器与之分开.去掉ftp.sendmail.tftp.NIS.NFS.finger.netstat等~些无关的应用。(5)在WEB服务器上去掉一些更对不用的如SHELL之类的解释器即当在你的CGI的程序中没用到PERL时就尽量把PERL在系统解释器中删除掉。(6)定期查看服务器中的日志logs文件,分析一切可疑事件。(7)设置好WEB服务器上系统文件的权限和属性,对可让人访问的文档分配一个公用的组,如www,并只分配它只读的权利。把所有的HTML文件归属www组,由WEB管理员管理www组。对于WEB的配置文件仅对WEB管理员有写的权利。(8)有些WEBBE务器把w田的文档目录与FTP目录指在同一目录时应该注意不要把FTP的目录与CGI-BIN指定在一个目录之下。这样是为了防止一些用户通过FTP上载一些如PERL或sH之类程序.并用WEB的CGIBIN去执行,造成不良后果。(9)通过限制许可访问用户JP或DNS(10)通过杀毒软件和防火墙保证服务器**。
二、网站程序**问题及对策
电子商务网站程序的**是许多企业忽视的问题,也是严重导致企业信息泄漏的更主要的途径之一。
1代码漏洞**问题。产生这种漏洞的主要原因是网站程序代码编写的不完善造成的.而这种不完善的代码更有可能会暴露网站的数据库或后台管理等重要的**信息(下文均以ASP为例)。(1)数据库连接字串的某些错误导致WEBI~.务器锚误提示,而这些错误提示中可能会含有数据库或表等重要信息。(2)企业后台管理程序中只有主程序要求管理员的身份信息,而其它管理页面却忽视了身份验证信息,这种疏忽使非法用户可能通过直接输入后台的某个管理页面的形式进入到后台管理中去,如果正好有管理员密码修改的页面出现此问题,则会导致网站后台的完全暴露。(3)对页面参数不作任何判定导致所谓的SQLInjection,即SQL注入从而泄漏用户信息。这种**漏洞是2004年以来网站信息**的更大隐患,而国内许多电子商务网站并没有采取相应的**措施,导致电子商务网站很容易被攻破。
2.后台管理程序文件的**问题。现在大多数企业采用后台管理的方式对电子商务网站进行管理,电子商务网站后台的入13**是很多企业忽视的问题。比如许多电子商务网站后台入13通常会采用Admin.aspIogin.asp、Iogout.asp等常见形式.也有的网站竟然在网面上链接出管理入13,这样,非法用户很容易就能找到网站的后台管理入13,成为电子商务网站**的重大隐患对于以上**问题的解决方法是更改网站的后台入13路径.更好是设定一个不易被猜解到的目录和文件名,同时尽可能不要在前台页面上暴露出后台的管理入13。3弱13令和13令加密**问题。尽管大多数企业认识到了13令的**问题,但还是有不少的企业忽视了这个问题。(1)网站管理13令**问题。①弱13令问题。有些管理员为了记忆方便.会以Admin、Admin888managerwebmaster等作为管理员的用户名.同样,也有用AdminAdmin88812345888888等来作为管理员密码,数据库以sA为用户名,留空密码等,这些弱13令是很容易被黑客猜测到的。②明文密码问题。很多企业的管理员密码都采用明文来保存,这样的明文密码是更不**的因素之一,通过SQL注入很容易就能猎取数据库中的明文密码。③简单13令加密问题。一些网站设计人员有时只是对13令进行简单的对称加密.这种经过简单的对称加密密文用现在的Pc机器可以在较短的时间内解密成明文,因此也是不可取的。(2)网站管理13令**策略。①杜更使用弱口令,以避免**隐患,可以采用字母+数字+符号字符,并超过8位以上的密码。②强制对所有用户密码加密,更好采用非对称加密或采用不可逆的运算,如使用32位的MD5码。
三.数据库**问题
根据国内相关调查显示,国内的网站用ASP+Access或SQLServer的占7o%以上.PHP+MySQL占2O%其他的不足1O%。而数据库是一个电子商务网站的核心,因此数据库的**也成为电子商务网站**的前几要问题。
1.数据库位置和名称**。以往许多网站设计人员会把数据库放在Data或Database等目录下.对数据库的 文件名也通常采用Data、Mydata、Database、DataShq0等.这种做法很容易被非法用户猜解到并下载用户数据库.从而使电子商务网站的所有数据被窃取。解决方案:可以采用字母+数字并超过8位的组合作为数据文件目录或文件名,对于Access文件更好更改其扩展名.MDB为ASP以加强**性。
2.数据库结构**问题(1)数据表的命名问题。为了**需要,不要直接用类似Admin、User、Product等作为表名,可以使用XX—Admin—XX等形式,用字母和数宇组合作为表名的前后缀,以防止SQL注入时被猜解出表名。(2)数据宇段的命名问题。同样在数据字段命名时,也不要直接用Admin、UserName、用户名、密码Passwor、Pwd、UserPwd等作为敏感字段名,可以采用一些难以猜解的字母和数宇组合来作为字段名以加强数据的**性。(3)数据库权限**问题尽量不要把数据库密码留空或使用弱13令作为数据库密码,合理使用1O位以上的数据库密码会进一步加强数据库的**。
3.数据库连接宇串**问题
这类**问题主要是两个方面;一是在数据库连接字串中不直接出现明文密码,采用对称加密密码可以提高数据库的**二是数据连接文件不要用常见的Conn、DbConn作为文件名,避免使用.inc.asa、txt作为扩展名,同时也不要把文件放在类似Inc、Data、Conn等目录下,以防数据库连接被非法下载。
4结束语。
所谓魔高一尺;道高一丈:从网络**技术本质上讲.就是“攻”与”防的技术。对于企业网络**,亡羊补牢”和“防患于未然”同样重要。笔者在撰写本文时对国内部分电子商务网站进行相应**测试发现,目前国内大多数电子商务网站都存在着上述的**问题,有的电子商务网站甚至存在大量的**隐患,如某大型制药企业的网站.就存在上述的所有漏洞。因此,作为电子商务网站管理员,一方面要加强**防范措施.防患于未然;另一方面也要经常对自己的网站进行**测试,查看网站运行日志文件,亡羊补牢,为时未晚,把**损失降到更低让电子商务网站真正成为企业提供****的信息服务。
电子商务网站建设中的**问题研究,欢迎合作。
