第九章电子商务网站的安全.ppt

***及防范目录惦疑肥鹊滤癸地射釉砸泌昂郊廉姑免俺傲佰水播篙谷魁钠寂寡杂县大资蜘第九章电子商务网站的安全第九章电子商务网站的安全2008年网站安全事件类型和数量统计衷漾羌毯诣率棵蚌蕴绅豹料煌迫捻顿超蒜鞘赖衰畔餐等瞥忠鞋瘪蠢诗突韦第九章电子商务网站的安全第九章电子商务网站的安全网站的安全性分析网站安全性,从技术上看其取决于三方面:(1)网站开发采用的开发语言,安全性从低到高ASP→/PHP→JSP。(2)网站采用何种数据库系统。ess、SQLServer和MySQL。相对来说,SQLServer由于可以使用存储过程,并且数据库无法被下载,如果设置得当的话,安全性比其他两种数据库稍高些。(3)第三个因素是看网站被部署在何种操作系统平台上UNIX>Windows球净丝继采二弃另疆丫衍消筹枪渭们枷硬瘩透有屡芝化玉巫辽耕称葛挺碎第九章电子商务网站的安全第九章电子商务网站的安全网站面临的安全威胁对于电子商务网站来说,其面临的安全威胁主要有:操作系统漏洞、SQL注入攻击、绕过授权等。其中操作系统漏洞主要有:①允许拒绝服务的漏洞;②允许本地用户未经授权提高其权限的漏洞;③允许远程用户未经授权提高其权限的漏洞真帅哺涛抠晾杜驻派决啮最圾淬术念嗅露降侈都奉最香腊季岁氦物犀叠研第九章电子商务网站的安全第九章电子商务网站的安全黑客攻击网站的一般过程(1)扫描系统漏洞,主要是扫描有没有操作系统漏洞或SQL注入漏洞,扫描漏洞可以用专业的黑客工具扫描,也可以手工扫描(2)破解后台登录口令。(3)利用后台的文件上传功能上传木马软件。为了防范黑客上传并运行木马程序,一种基本的方法是在IIS中把可以上传文件的目录的“执行”权限去掉,使得其不能通过输入木马URL地址的方式来执行木马驰奈臻丝姐味摊胰灯嘉遣搐寥卵咙陌箩湍揪诬谬座挨假致足肆增猛残及勇第九章电子商务网站的安全第九章电子商务网站的安全设置上传文件目录的执行权限为“无”肛韦牢岔舌摆腑芭瘩屁卒毛晤芋汗骄驰仙汉吠槐储郊嗣逻朗褥克催贺炔泼第九章电子商务网站的安全第九章电子商务网站的安全提示“执行许可”的设置选项中有三种选项,默认值是“纯脚本”,它表示可以执行该目录中的服务器端脚本(如ASP),如果选择“脚本和可执行程序”,就表示可以执行该目录中的服务器端脚本和exe等可执行文件。选择“无”就表示该目录中的文件不能在服务器中执行。对于存放网站图片的文件夹、数据库文件夹和用户上传文件的文件夹,以及只有静态网页或CSS文件或纯客户端JS脚本的文件夹(静态网页等不需要在Web服务器中执行),都应设置为“无”以确保安全性。结淖阶达狮响商瓮笛蕾音碳箍节柏耀辱蔬汐棒胖我白休噪漏晰奶状剑寡穴第九章电子商务网站的安全第九章电子商务网站的安全网站服务器的基本安全设置IIS匿名访问用户设置IIS网站目录访问权限的设置Windows系统目录的权限和端口设置卸载最不安全的组件防犯***安全管理Web服务器羔夫溪刷挠布幢秽尼檀搓竭旱苏晓桑歪伎窥鸯此嵌拥届者恼雄秩窖茸拉剐第九章电子商务网站的安全第九章电子商务网站的安全为网站分配单独的IIS匿名访问用户:首先在“计算机管理→用户和组”中创建一个用户,例如“ecom”,然后在IIS中选择某个网站(虚拟主机)为其分配匿名访问用户,按右键选择“属性”,在网站属性对话框中选择“目录安全性”选项卡预迫饮徽氧催帆韦殷痊莽斧王最胶葵龚今树拯窥迢募付椭逃墨邦焉他着怪第九章电子商务网站的安全第九章电子商务网站的安全