搜索
网络安全与电子商务总体内容网络安全基础•网络安全•电子商务安全•网络及通信安全•通信安全•安全协议•Web安全(服务器、浏览器安全)•电子邮件安全•黑客•病毒各种安全技术•防火墙技术•加密技术•数字签名与身份认证•数据安全•操作系统•电子商务安全交易协议•网络安全管理网络安全与电子商务特色1.先讲授网络安全→后讲授电子商务安全。2.先讨论网络的安全威胁→后研究防范技术。3.每一章均附有小结和习题以及实训,并附有习题答案。4.习题组成:选择题填空题判断题思考题5.实训部分:只给出一个大概的提纲有讨论和上机操作两种形式,但以上机操作为主。网络安全基础•网络面临很多威胁•例如人为攻击网络安全基础•网络面临很多威胁•例如•物理破坏网络安全基础•网络面临很多威胁•例如•传输安全网络安全基础•网络面临很多威胁•例如•主机安全网络安全基础•网络安全是有等级标准的:•美国标准•中国标准网络安全基础•网络安全的关键技术•主机安全技术•身份认证技术•访问控制•加密技术•防火墙技术•安全审计技术•安全管理技术网络安全基础•电子商务安全要素•有效性•机密性•完整性•不可否认性网络及通信安全Internet给我们提供很多服务,但也带来了许多安全隐患。在信息的传输过程中,主要安全威胁有:解决办法:1.加强线路安全。2.加密:链路、节点、端到端加密。网络通信中的安全协议IP安全截获窃听篡改伪造网络及通信安全Web面临以下安全威胁:•信息泄漏。•拒绝服务。•系统崩溃。•跳板•Web的安全主要包括以下几个方面:•Web服务器的安全。•Web浏览器的安全。•Web传输过程的安全。网络及通信安全•浏览器中Cookie安全•Cookie是一个储存于浏览器目录中的文本文件,可储存诸如注册口令、用户名、信用卡号等私人信息。只要找到Cookie文件,用文本编辑器或字处理软件打开它就可以了。•在浏览器中禁止Cookie•注册表中禁止Cookie•ActiveX和Java的设置同上网络及通信安全•通常,我们可以通过IE浏览器提供的Cookie设置选项进行设置。具体如下:•①打开浏览器。•②在“工具”菜单中,选定“Internet选项”。•③选择“安全”选项卡。•④单击窗口列表中白色编辑框中的Internet图标。•⑤单击窗口列表下方的“自定义级别”。•⑥在弹出的“安全设置”对话框中,移动对话框中的垂直滚动滑块,直至出现Cookies设置选项为止。•⑦根据需要设置即可。网络及通信安全网络及通信安全•网络及通信安全网络及通信安全一个邮件系统的传输包含了用户代理、传输代理及接受代理三大部分。E-mail的安全问题主要在两个方面:1.电子邮件在网上传送时随时都可能被人窃取,同时,邮件是用ASCII字符编写,任何人都可以看懂;2.可以假冒别人发信。网络及通信安全•OutlookExpress安全•安全设置•定义接收邮件的规则•邮件加密•阻止邮件黑客及其防范黑客能够对网络进行攻击的主要原因是:网络系统的缺陷与漏洞攻击准备:网络监听端口扫描口令破解常见的攻击:特洛伊木马IP欺骗拒绝服务攻击缓冲区溢出黑客及其防范•网络系统的缺陷与漏洞•物理结构缺陷•TCP/IP协议的缺陷•漏洞分三级•漏洞的检测•漏洞与后门的区别黑客及其防范•黑客的含义•黑客的表现形式•黑客入侵级别•黑客攻击过程•黑客入侵的简单防范黑客及其防范•网络监听•网络监听的关键是将网卡设置为混杂模式的状态。常用的监听工具有Sniffit、Windump•防范监听的办法之一是加密•端口扫描•手工扫描:Ping命令、Tracert命令等•常用的扫描工具:SATAN、NSS、Strobe、Superscan•端口扫描的防范:•关闭闲置和有潜在危险的端口•各端口有扫描的症状时,立即屏蔽该端口黑客及其防范•口令破解•从存放许多常用的口令的数据库中,逐一地取出口令进行尝试;•另一种做法是设法偷走系统的口令文件,如E-mail欺骗,然后用口令破解工具破译这些经过加密的口令•具体做法:•穷举法•分布式破解法•口令破解器•一般由候选口令产生器、口令加密和口令比较三部分组成黑客及其防范•什么是特洛伊木马•特洛伊木马是一个程序,它驻留在目标计算机中。在目标计算机启动时,它自动启动,然后在某一端口进行侦听。如果在该端口收到数据,则对这些数据进行识别,识别后,在目标计算机上进行一些操作,比如窃取口令、复制或删除文件,或者重新启动计算机。黑客及其防范•特洛伊木马的特点:•隐蔽性•顽固性•潜伏性•自动运行性•包含具有未公开并且可能产生危险后果的功能的程序和功能的特殊性黑客及其防范•特洛伊木马•分类:•破坏型、密码发送型、远程访问型、键盘记录木马、DoS攻击木马、代理木马、FTP木马、程序杀手木马、反弹端口型。•特洛伊木马的删除与预防•通过查看系统的启动组、注册表等方法,我们可以发现木马的存在,并删除之。还可以通过不执行任何来历不明的软件、不随意打开邮件附件、重新选择新的客户端软件、将资源管理器配置成始终显示扩展名、尽量少用或不用共享文件夹、运行反木马实时监控程序以及经常升级系统等来预防木马。•特洛伊木马实例木马实例--201木马•黑客会通过恶意网站、电子邮件、聊天工具等途径主动散播此类病毒。用户电脑被“201木马”感染后,会自动弹出伪造的窗口,如果用户把自己的QQ号、电话卡号和密码等资料输入病毒伪造的对话窗口,就会失窃。•病毒弹出的伪造窗口如下:木马实例--201木马黑客及其防范•间谍软件•间谍软件是指能够在用户不知情的情况下偷偷进行安装,并悄悄把截获的一些机密信息发送给第三者的软件。间谍软件大都是因为用户在网上下载了免费软件、浏览了一些不适合的网站,或者打开了某些恶意的邮件造成的。网络个人隐私渗透实例•仅仅知道某一个人的名字,(当然名字不是那种非常普通的那种),如何查处他的个人信息(如Email,电话,住址,甚至密码等等)?前提条件:此人上网,拥有多个Email,QQ等。下面我们来达到这个目标!•目标:知道一个人的姓名(此处假定为张三),现在要查出他的网络常用身份!•前提:此人(张三)名字不是太普通,不能太多重名,否则还需要知道另外信息!•具体步骤如下:网络个人隐私渗透实例•一:收集信息•由于只知道其名字,需要了解其在网上的活动!首先登陆www.google.com和www.baidu.com,输入其名字进行搜索,但是均没有搜索结果。那么在哪里去知道更多信息了?•打开www.chinaren.com,登陆,校友录提供一个很好的功能那就是“同学大搜捕”,输入姓名,点搜索,但是提示非手机绑定用户,无法使用此“同学大搜捕”功能,没有办法,只好用手机绑定,再重新搜索,结果出来了,如下图所示:网络个人隐私渗透实例网络个人隐私渗透实例•通过搜索,我们已经获得了毕业学校信息!接下来,打开搜索结果中的各个班级的链接,由于现在很多班级都把自己班级设置为不公开状态,访客登陆是无法看到校友录留言的,所幸的是在以上搜索结果中有两个班级是设置为公开状态,可以随意浏览校友录留言和班级个人地址,在个人地址中,查看张三的个人信息,提示非班级成员,不能查看,那好,直接点加入班级,都不需要批准就加入了此班级,接下来查看个人信息,可以得到张三在校友录的注册帐号:aaa@chinaren.com,常用Email:bbb@163.net,QQ:3*******.•接下来,打开www.5460.net,众所周知,chinaren和5460是两个最著名人气也是最旺的校友录,去5460看看是否能获得更多的信息。在5460上面依然使用同学搜索功能,不同的是此功能不象www.chinaren.com那样需要绑定手机。果然不出所料,在5460上很快搜索到其资料,注册帐号为aaa111,Email依然是bbb@163.net。网络个人隐私渗透实例•二:确定突破点•至此,我们已经在只知道其姓名的情况下,获得了其常用Email,QQ,注册帐号等网络信息,接下来该如何寻找突破点,进一步获得更详细的信息了?当然,知道Email,QQ等,可以使用暴力破解密码之后进入其邮箱或者QQ。接下来该如何做了?•接下来我们来使用忘记密码看能否找到密码,或者相关信息。打开163.net,点击忘记密码,就提示输入出生年月日,再把从校友录上获取的张三的生日信息输入,输入正确后提示问题答案为“whoareyou”,答案跟问题一样输入试了之后发现不对,此条路不通!在QQ的忘记密码中,密码忘记的提示问题为“whoareyou”,那么可以想到的是他的答案肯定不会跟问题一模一样。Chinaren的密码取回功能改为了人工,自然不能玩了,而5460.net上的取回密码比较有意思,画面如下!网络个人隐私渗透实例网络个人隐私渗透实例•在这个页面中我们点击IE上面的“查看源文件”可以看到如下内容:网络个人隐私渗透实例•这样我们知道了密码发送到哪个邮箱,也知道了5460的密码肯定的明文保存在数据库的,不象QQ等只是发一个更改密码的链接!这样,能够进入他的邮箱,就能够获得他的密码!•接下来,由于知道了他的注册帐号,联想到是否他会用此帐户注册登陆很多论坛?还是使用google和baidu,但是这次搜索关键词使用他的注册帐号而不是真实姓名,这次到是有了搜索结果,第一个就是天涯论坛,打开链接,在天涯中打开此帐户的个人信息,然后搜索其在天涯论坛的文章,看来他还是比较活跃,分析他发表帖子的版块就知道他平时上网的个人兴趣了!但是此时还是离我们的目标很远。再重新查看张三的在校友录的注册信息,可以知道他的大学和中学名称,以这个为突破口,看能否实现?网络个人隐私渗透实例•首先进入其大学主页,浏览了一下,估计可以利用的漏洞不是很多,而且应该也没张三的个人信息,就在一筹莫展的时候,随便在www.google.com上搜索其所在中学名称,居然发现其所在的中学也已经有了自己的网站,打开其主页,发现新闻文章发布系统是采用asp系统,心中大喜,可能存在sql注入,再看其主页上居然还有一个自己学校建设的校友录版块,而且一看就知道肯定是采用网上那些免费的校友录程序的,看来此网站能够拿下的几率已经非常大了,等下就只需要确定张三是否在这个校友录上有注册,打开校友录中张三的中学班级,成员名单中显示他已经注册并登陆过,好,已经选顶了突破口,只要能够拿到这个网站的数据库,那么就可以拿到张三的密码,如果此密码和其在163.net上的邮箱密码一致,那么就大功告成,如果不同,那么也可以得到进一步信息。网络个人隐私渗透实例•先看首页的新闻系统,使用asp程序,随便打开一条新闻http://www.***.net/include/shownews.asp?id=453,在URL后面添加and1=1,居然没有报错,显然存在sql注入,拿出NBSI2,进行扫描,扫描结果如下:•可以看到网站采用SqlServer数据库,而且使用sa进行登陆,在自动猜解中,已经知道校友录数据库为alumni_user,在列名中,选中name,truename,password进行破解,破解条件直接输入truename=’张三’即可,密码立刻就破解成功。大功告成!网络个人隐私渗透实例网络个人隐私渗透实例•三:乘胜追击•用破解的密码登陆其163.net的邮箱,居然密码一致,进入之后,查看其收件箱,可以发现其注册过易趣和当当网上书店,并使用过密码忘把密码发送到邮箱过,如下图:网络个人隐私渗透实例网络个人隐私渗透实例•可以看到,其在当当网注册密码,与当前邮箱密码不一致,接下来登陆当当网,使用帐户和密码登陆,此时当当网的个人信息中,个人的身份证号码信息,手机号码,家庭住址均一览无遗。•在此邮箱中,查看邮箱设置中的个人资料,忘记密码栏中,提示问题的答案都已经明文显示在那里。在这里说明一下,163.net的邮箱把忘记密码的答案明文保存在个人信息中,增加了安全隐患,在163.com邮箱中和QQ等其他一些密码忘记答案设置中,答案都是不显示的,如果要更改答案,需要输入原答案和新答案进行修改。•再使用已经获得的两个密码登陆张三的QQ,居然提示密码