电子商务安全及案例5篇范文

电子商务安全及案例5篇范文
第一篇：电子商务安全及案例
1、五个网络漏洞工作原理与防治方法
1）Unicode编码漏洞
微软IIS 4.0和5.0都存在利用扩展UNICODE字符取代“/”和“"而能利用”../"目录遍历的漏洞。

消除该漏洞的方式是安装操作系统的补丁，只要安装了SP1以后，该漏洞就不存在了。

2）RPC漏洞此漏洞是由于Windows RPC 服务在某些情况下不能正确检查消息输入而造成的。

如果攻击者在 RPC 建立连接后发送某种类型的格式不正确的RPC 消息，则会导致远程计算机上与RPC 之间的基础分布式组件对象模型(DCOM)接口出现问题，进而使任意代码得以执行。

此问题的修补程序将包括在 Windows 2000 Service Pack
5、Windows XP Service Pack 2 和Windows Server 2003 Service Pack 1 中。

3）ASP源码泄漏和MS SQL Server攻击通过向web服务器请求精心构造的特殊的url就可以看到不应该看到的asp程序的全部或部分源代码，进而取得诸如MS SQL Server 的管理员sa的密码，再利用存储过程xp_cmdshell就可远程以SYSTEM账号在服务器上任意执行程序或命令。

设置较为复杂的密码。

4）BIND缓冲溢出
在最新版本的Bind以前的版本中都存在有严重的缓冲溢出漏洞，可以导致远程用户直接以root权限在服务器上执行程序或命令，极具危险性。

但由于操作和实施较为复杂，一般也为黑客高手所用。

这种攻击主要存在于Linux、BSDI和Solaris等系统中。

打补丁。

5）IIS缓冲溢出
对于IIS4.0和IIS5.0来说都存在有严重的缓冲溢出漏洞，利用该漏洞远程用户可以以具有管理员权限的SYSTEM账号在服务器上任意执行程序或命令，极具危险性。

但由于操作和实施较为复杂，一般为黑客高手所用。

2、三种网络病毒的产生与防治方法
1）Checker/Autorun“U盘寄生虫”
Checker/Autorun“U盘寄生虫”是一个利用U盘等移动存储设备进行自我传播的蠕虫病毒。

“U盘寄生虫” 运行后，会自我复制到被感染计算机系统的指定目录下，并重新命名保存。

“U盘寄生虫”会在被感染计算机系统中的所有磁盘根目录下创建“autorun.inf”文件和蠕虫病毒主程序体，来实现用户双击盘符而启动运行“U盘寄生虫”蠕虫病毒主程序体的目的。

“U盘寄生虫”还具有利用U盘、移动硬盘等移动存储设备进行自我传播的功能。

“U盘寄生虫”运行时，可能会在被感染计算机系统中定时弹出恶意广告网页，或是下载其它恶意程序到被感染计算机系统中并调用安装运行，会被用户带去不同程度的损失。

“U盘寄生虫”会通过在被感染计算机系统注册表中添加启动项的方式，来实现蠕虫开机自启动。

2）Backdoor/Huigezi “灰鸽子”
Backdoor/Huigezi “灰鸽子”是后门家族的最新成员之一，采用Delphi语言编写，并经过加壳保护处理。

“灰鸽子”运行后，会自我复制到被感染计算机系统的指定目录下，并重新命名保存（文件属性设置为：只读、隐藏、存档）。

“灰鸽子”是一个反向连接远程控制后门程序，运行后会与骇客指定远程服务器地址进行TCP/IP网络通讯。

中毒后的计算机会变成网络僵尸，骇客可以远程任意控制被感染的计算机，还可以窃取用户计算机里所有的机密信息资料等，会给用户带去不同程度的损失。

“灰鸽子”会把自身注册为系统服务，以服务的方式来实现开机自启动运行。

“灰鸽子”主安装程序执行完毕后，会自我删除。

3）Trojan/PSW.QQPass“QQ大盗”
Trojan/PSW.QQPass“QQ大盗”是木马家族的最新成员之一，采用高级语言编写，并经过加壳保护处理。

“QQ大盗”运行时，会在被感染计算机的后台搜索用户系统中有关QQ注册表项和程序文件的信息，然后强行删除用户计算机中的QQ医生程序“QQDoctorMain.exe”、“QQDoctor.exe”和“TSVulChk.dat”文件，从而来保护自身不被查杀。

“QQ大盗”运行时，会在后台盗取计算机用户的QQ帐号、QQ密码、会员信息、ip地址、ip所属区域
等信息资料，并且会在被感染计算机后台将窃取到的这些信息资料发送到骇客指定的远程服务器站点上或邮箱里，会给被感染计算机用户带去不同程度的损失。

“QQ大盗”通过在注册表启动项中添加键的方式，来实现开机木马自启动。

防止病毒的方法，安全上网，装杀毒软件。

3、几种加密算法的描述
1）分组加密的DES算法
DES 使用一个 56 位的密钥以及附加的 8 位奇偶校验位，产生最大 64 位的分组大小。

这是一个迭代的分组密码，使用称为 Feistel 的技术，其中将加密的文本块分成两半。

使用子密钥对其中一半应用循环功能，然后将输出与另一半进行“异或”运算；接着交换这两半，这一过程会继续下去，但最后一个循环不交换。

DES 使用 16 个循环，使用异或，置换，代换，移位操作四种基本运算。

DES破解方法：攻击 DES 的主要形式被称为蛮力的或彻底密钥搜索，即重复尝试各种密钥直到有一个符合为止。

如果DES 使用56 位的密钥，则可能的密钥数量是 2 的 56 次方个。

随着计算机系统能力的不断发展，DES 的安全性比它刚出现时会弱得多，然而从非关键性质的实际出发，仍可以认为它是足够的。

不过，DES 现在仅用于旧系统的鉴定，而更多地选择新的加密标准—高级加密标准（Advanced Encryption Standard，AES）。

2）大数分解的RSA算法解析：RSA公钥加密算法是1977年由Ron Rivest、Adi Shamirh 和LenAdleman在（美国麻省理工学院）开发的。

RSA取名来自开发他们三者的名字。

RSA是目前最有影响力的公钥加密算法，它能够抵抗到目前为止已知的所有密码攻击，已被ISO推荐为公钥数据加密标准。

RSA算法基于一个十分简单的数论事实：将两个大素数相乘十分容易，但那时想要对其乘积进行因式分解却极其困难，因此可以将乘积公开作为加密密钥。

安全性：RSA的安全性依赖于大数分解，但是否等同于大数分解一直未能得到理论上的证明，因为没有证明破解RSA就一定需要作大数分解。

假设存在一种无须分解大数的算法，那它肯定可以修改成为
大数分解算法。

目前，RSA 的一些变种算法已被证明等价于大数分解。

不管怎样，分解n是最显然的攻击方法。

现在，人们已能分解多个十进制位的大素数。

因此，模数n 必须选大一些，因具体适用情况而定。

3）基于NP完全理论的背包加密算法
安全性：影响陷门背包的安全性的一个重要的参数是背包密度，背包密度小于0.9408 的陷门背包都容易遭受低密度子集和攻击。

因而，要设计安全的背包型公钥密码，其背包密度必须大于0.9408。

如果背包密度大于1，则该体制在实现过程中就会存在解密不唯一的问题。

因此，要设计安全的背包型公钥密码必须兼顾到背包密度不能太小以及解密必须唯一这两个要求。

低密度子集和攻击的基本思想是，把求解低密度子集和问题与格理论中的基规约算法联系起来。

通过低密度子集和问题来构造格基，对该基实施LLL 算法或者它的改进算法，找到格基的一个规约基，该规约基的第一个向量很短，这个短向量以很大的概率等于低密度子集和问题的解向量。

4）基于离散对数的EIGamal 加密算法
ElGamal算法既能用于数据加密也能用于数字签名，其安全性依赖于计算有限域上离散对数这一难题。

密钥对产生办法。

首先选择一个素数p，两个随机数, g 和x，g, x < p, 计算 y = g^x(mod p)，则其公钥为 y, g 和p。

私钥是x。

g和p 可由一组用户共享。

安全性：ElGamal签名的安全性依赖于乘法群(IFp)* 上的离散对数计算。

素数p必须足够大，且p-1至少包含一个大素数，因子以抵抗Pohlig & Hellman算法的攻击。

M一般都应采用信息的HASH值(如SHA算法)。

ElGamal的安全性主要依赖于p和g，若选取不当则签名容易伪造，应保证g对于p-1的大素数因子不可约。

D.Bleichenbache“GeneratingElGamal Signatures Without Knowing the Secret Key”中提到了一些攻击方法和对策。

ElGamal 的一个不足之处是它的密文成倍扩张。

美国的DSS(Digital Signature Standard)的DSA(Digital Signature Algorithm)算法是经ElGamal算法演变而来。

第二篇：电子商务安全案例总结
电子商务安全案例总结
电子商务从产生至今虽然时间不长，但发展十分迅速，已经引起各国政府和企业的广泛关注和参与。

但是，由于电子商务交易平台的虚拟性和匿名性，其安全问题也变得越来越突出，近些年的案例层出不穷。

1.台湾黑客对某政府网站的攻击（1999年8月）该网站运行的系统是SunOS，版本比较旧。

当时大陆黑客出于对李登辉“quot;两国论”quot;谬论的愤慨，为谴责李登辉的分裂行径，于8月份某日，一夜之间入侵了数十个台湾政府站点。

台湾黑客采取了报复行动，替换了这个网站的首页。

经本站技术人员P分析，在该系统上实际存在至少4个致命的弱点可以被黑客利用。

其中有两个RPC守护进程存在缓冲区溢出漏洞，一个CGI程序也有溢出错误。

对这些漏洞要采用比较特殊的攻击程序。

但台湾黑客并没有利用这些比较高级的攻击技巧，而是从一个最简单的错误配置进入了系统。

原来，其缺省帐号infomix的密码与用户名相同!这个用户的权限足以让台湾黑客对web网站为所欲为。

从这件事情可以看出，我们有部分系统管理员不具备最起码的安全素质。

2.东亚某银行（1999年12月）
该网站为WindowsNT 4.0，是这个国家最大的银行之一。

该网站BankServer实际上有两道安全防线，首先在其路由器的访问控制表中(ACL)做了严格的端口过滤限制，只允许对80、443、65300进行incoming访问，另一道防火墙为全世界市场份额最大的软件防火墙FW，在FW防火墙上除了端口访问控制外，还禁止了很多异常的、利用已知CGI bug的非法调用。

在12月某日，该银行网站的系统管理员Ymouse(呢称)突然发现在任务列表中有一个杀不死的CMD.exe进程，而在BankServer系统上并没有与CMD.exe相关的服务。

该系统管理员在一黑客聊天室向本站技术人员F求救。

F认为这是一个典型的NT 系统已经遭受入侵的迹象。

通过Email授权，F开始分析该系统的安全问题，从外部看，除ing的可疑通信，却发现
BankServer正在向外连接着另一台NT服务器Wserver的139端口。

通过进一步的分析，证实有人从BankServer登录到了Wserver的C 盘。

Wserver是一台韩国的NT服务器，不受任何安全保护的裸机。

F 对Wserver进行了一次简单的扫描，结果意外地发现Wserver的管理员帐号的密码极为简单，可以轻易获取对该系统的完全控制。

更令人吃惊的是，在这台韩国的服务器的C盘上，保存着上面提到的东亚某银行的一个重要数据库文件！更多的文件正在从BankServer上往这台韩国的Wserver上传送！
3.借刀杀人，破坏某电子公司的数据库(2001年2月12日)1999年11月该网站运行于Windows NT
4.0上,web server为IIS4.0,补丁号为Service Pack5。

该网站管理员在11月的某一天发现其web网站上的用户资料和电子配件数据库被入侵者完全删除!严重之处更在于该数据库没有备份，网站运行半年来积累的用户和资料全部丢失。

系统管理员反复检查原因，通过web日志发现破坏者的调用web程序记录，确定了当时用户的IP是202.103.xxx.xxx(出于众所周知的原因这里隐藏了后两位)，而这个IP来自于某地一个ISP的一台代理服务器。

这个202.103.xxx.xx的服务器安装了Wingate的代理软件。

破坏者浏览电子公司的网站是用该代理访问的。

这件事情给电子公司带来的损失是很严重的，丢失了半年的工作成果。

入侵者同时给202.103.xxx.xxx带来了麻烦，电子公司报了案，协查通报到了202.103.xxx.xxx这个ISP所在地的公安局。

该代理服务器的系统管理员是本站一位技术人员F的朋友。

F通过对受害者的服务器进行安全检查发现了原因。

首先，其端口1433为开放，SQL数据库服务器允许远程管理访问；其次，其IIS服务器存在ASP的bug，允许任何用户查看ASP源代码，数据库管理员帐号sa和密码以明文的形式存在于ASP 文件中。

有了这两个条件，破坏者可以很容易地连上SQL数据库，以最高身份对数据库执行任意操作。

对于该漏洞的补丁，请下载本站的ASP bug补丁修复程序。

4.熊猫烧香（2006年12月）
2006年12月初,我国互联网上大规模爆发“熊猫烧香”病毒及其
变种.一只憨态可掬,颔首敬香的“熊猫”在互联网上疯狂“作案”.在病毒卡通化的外表下,隐藏着巨大的传染潜力,短短三四个月,“烧香”潮波及上千万个人用户,网吧及企业局域网用户,造成直接和间接损失超过1亿元.2007年2月3日,“熊猫烧香”病毒的制造者李俊落网.李俊向警方交代,他曾将“熊猫烧香”病毒出售给120余人,而被抓获的主要嫌疑人仅有6人,所以不断会有“熊猫烧香”病毒的新变种出现.李俊处于链条的上端,其在被抓捕前,不到一个月的时间至少获利15万元.而在链条下端的涉案人员张顺目前已获利数十万了.一名涉案人员说,该产业的利润率高于目前国内的房地产业.有了大量盗窃来的游戏装备,账号,并不能马上兑换成人民币.只有通过网上交易,这些虚拟货币才得以兑现.盗来的游戏装备,账号,QQ账号甚至银行卡号资料被中间批发商全部放在网上游戏交易平台公开叫卖.一番讨价还价后,网友们通过网上银行将现金转账,就能获得那些盗来的网络货币.李俊以自己出售和由他人代卖的方式,每次要价500元至1000元不等,将该病毒销售给120余人,非法获利10万余元.经病毒购买者进一步传播,该病毒的各种变种在网上大面积传播.据估算,被“熊猫烧香”病毒控制的电脑数以百万计
5.华硕官方网站遭黑客攻击公司被迫关闭服务器（2011年4月6日）
Exploit Prevention Labs的首席技术官罗杰-汤姆森（Roger Thompson）透露，该代码隐藏在网站主页的一个HTML元素中，并试图从另一台服务器上下载恶意代码。

截止周五下午，这台服务器已经停止工作，虽然黑客们还可转移攻击目标，不过此次攻击的危险性已经下降。

4月6日据外电报道电脑零部件生产商华硕的网站遭到黑客攻击，黑客利用本周才修复的一个Windows系统中的紧急漏洞，通过该网站的服务器发送恶意代码。

Exploit Prevention Labs的首席技术官罗杰-汤姆森（Roger Thompson）透露，该攻击代码隐藏在网站主页的一个HTML元素中，并试图从另一台服务器上下载恶意代码。

截止周五下午，这台服务器已经停止工作，虽然黑客们还可转移攻击目标，不过此次攻击的危险性已经下降。

通过上述案例可以看出随着互联网和电子商务的快速发展,利用网
络犯罪的行为会大量出现,为了保证电子商务的顺利发展,法律保障是必不可少的.目前对我国的网络立法明显滞后,如何保障网络虚拟财物还是个空白.除了下载补丁,升级杀毒软件外,目前还没有一部完善的法律来约束病毒制造和传播,更无法来保护网络虚拟钱币的安全.电子商务交易安全的一些典型技术和协议都是对有关电子商务交易安全的外部防范，但是要想使一个商用网络真正做到安全，不仅要看它所采用的防范措施，而且还要看它的管理措施。

只有将这两者综合起来考察，才能最终得出该网络是否安全的结论。

因此，只有每个电子商务系统的领导、网络管理员和用户都能提高安全意识，健全并严格有关网络安全措施，才能在现有的技术条件下，将电子商务安全风险降至最低.
第三篇：电子商务安全法律案例分析
实训三电子商务安全法律案例分析
学号：126204050110姓名：杜其芬班级：12电商
1实训目标：通过实验，了解电子商务安全法律有哪些，并能够通过具体的案例，来分析该案例适用哪个安全法律，从而让学生知道与我们生活息息相关的法律及预防不经意的网络犯罪。

实训要求：
1、了解电子商务安全法律。

2、能够掌握电子商务安全法律分析。

3、参照课本的电子商务法律内容，选择至少3个方面的法律问题来进行案例分析，选择的案例必须是2010年（含）以后的。

实训内容：
一、虚拟财产在何种情形下应受到法律的保护法律问题。

1、案例：李某为某网络游戏的玩家，一日发现自己ＩＤ内所有的虚拟装备丢失，包括生化装备１０件、毒药２个、生命水２份、战神甲１件等。

李某与网络游戏运营商联系，该运营商仅能查询装备的流向：寄给玩家某某。

李某向运营商索要玩家某某的详细资料，运营商以玩家资料属于个人隐私为由而拒绝提供。

于是李某将该运营商告到法院，要求运营商赔偿其丢失的装备。

该运营商认为，网络游戏中的装备等财产只是游戏中的信息，实质上只是一组电脑数据，本身并不
以“物”的形式存在，运营商不能为不存在的东西负责。

2、适用的法律及条款：《合同法》、《中华人民共和国财产安全法》
3、法院判决：法院认为，虽然虚拟装备是无形的且存在于特殊的网络游戏环境中，但并不影响虚拟物品作为无形财产的一种获得法律上的适当评价和救济。

由于玩家在网络游戏预先设定的环境下进行活动，活动的自主性受环境设定的限制，而运营商掌握服务器的运行，并可控制服务器数据，因此要对玩家承担更严格的保障义务。

法院认定运营商应对李某虚拟物品的丢失承担保障不利的责任，判决运营商通过技术手段将查实丢失的李某虚拟装备予以恢复。

4、案例分析及个人感想：网络游戏中形成的虚拟财产具备许多与现实财产相同的属性，拟财产可以用来交换，具有交换价值，从法律视野来看，虚拟财产同样可以被占有、使用、收益和处分，并因此可以成为法律关系的客体。

所以，本案法官认为“虽然虚拟装备是无形的且存在于特殊的网络游戏环境中，但并不影响虚拟物品作为无形财产的一种获得法律上的适当评价和救济”，这是一个十分正确的判断。

二、由网上交易引起的法律问题。

1、案例：二OO四年十月，家住江西省南昌市贤士湖住宅区54栋3单元601室的毛源宏在新浪“一拍网”注册，并在网上拍下商品编号为5596482的二手笔记本电脑一台，价格为3350元，卖家为湖南省长沙市建设北路华天商城枫祥科技，联系人是李凤。

十一月一日，毛源宏按照网上资料向枫祥科技的个人（财务人员杨永花）帐户汇款3400元，但没有收到电脑。

此后，联系人李凤手机关机。

经向湖南省长沙市工商管理局查询，发现长沙市并无建设北路，也没有华天商城，设在华天商城的枫祥科技更属子虚乌有。

二00五年三月十六日毛源宏向南昌市东湖区法院提起诉讼，状告新浪“一拍网”的所有人和经营者北京阳光山谷信息技术有限公司，要求其赔偿经济损失3400元并承担全部诉讼费用（含旅差费）。

2、适用的法律及条款：《商用密码管理条例》、《计算机信息系统国际互联网保密管理规定》、《互联网信息服务管理办法》和《网
上银行业务管理暂行办法》
3、法院判决：经东湖区法院审理后认为：新浪“一拍网”提供双方买卖这一平台，负有对卖家起码的审查义务。

但“一拍网”向网民提供完全虚假的交易信息，而原告完全是基于对“一拍网”此知名网站的信任，与虚假的枫祥科技进行交易，造成的损失“一拍网”负有不可推卸的责任。

4、案例分析及个人感想：网上交易的出现与发展是时代的需要，它必将促使传统相关业务的转型，并对未来社会产生深远影响，一拍网作为网上购物交易网站，就必须要对消费者的交易安全作出保证，必须要证明网络交易卖家的信息真实可靠，一拍网提供双方交易这个平台，负有对卖家的审查义务，然而买家基于对其网站的信任，而与虚假的枫祥科技进行交易造成的损失，一拍网负有很大的责任。

虽然目前我国已相继颁布了各种网上交易安全的法规规章，这些为我国网上交易的发展提供了一定的法律保障和支持。

但同时，随着我国信息基础建设的规范和完善，实施网上交易的条件已经逐渐成熟且发展潜力巨大，而相关法律支持与其发展规模的差距还很大。

我国目前有关电子商务的立法也基本呈空白状态，行业间的监管对于网上交易毫无力度且法律上对行规以难以认同，相关的法律规范和有效的市场信用体系极不完善，严重影响网上交易业务的发展，也为不法之徒提供了可乘之机，其中有相当多的法律问题是不容回避且又亟需解决的。

三、电子签名法律问题。

1、案例：杨先生结识了女孩韩某。

同年8月27日，韩某发短信给杨先生，向他借钱应急，短信中说：“我需要5000元，刚回北京做了眼睛手术，不能出门，你汇到我卡里。

”杨先生随即将钱汇给了韩某。

一个多星期后，杨先生再次收到韩某的短信，又借给韩某6000元。

因都是短信来往，两次汇款杨先生都没有索要借据。

此后，因韩某一直没提过借款的事，而且又再次向杨先生借款，杨先生产生了警惕，于是向韩某催要。

但一直索要未果，于是起诉至北京市海淀区法院，要求韩某归还其11000元钱，并提交了银行汇款单存单两张。

但韩某
却称这是杨先生归还以前欠她的欠款。

为此，在庭审中，杨先生在向法院提交的证据中，除了提供银行汇款单存单两张外，还提交了自己使用的号码为“1391166ⅹⅹⅹⅹ”的飞利浦移动电话一部，其中记载了部分短信息内容。

后经法官核实，杨先生提供的发送短信的手机号码拨打后接听者是韩某本人。

而韩某本人也承认，自己从2006年7,8月开始使用这个手机号码。

2、适用的法律及条款：《中华人民共和国电子签名法》
3、法院判决：杨先生提供真实有效的证据，法院对杨先生要求韩女士偿还借款的诉讼请求予以支持。

4、案例分析及个人感想：依据2005年4月1日起施行的《中华人民共和国电子签名法》中第8条的规定，经法院对杨先生提供的移动电话短信息生成、储存、传递数据电文方法的可靠性；保持内容完整性方法的可靠性；用以鉴别发件人方法的可靠性进行审查，可以认定该移动电话短信息内容作为证据的真实性。

根据证据规则的相关规定，录音录像及数据电文可以作为证据使用，但数据电文直接作为认定事实的证据，还应有其它书面证据相佐证。

杨先生提供的通过韩女士使用的号码发送的移动电话短信息内容中载明款项往来金额、时间与中国工商银行个人业务凭证中体现的杨先生给韩女士汇款的金额、时间相符，且移动电话短信息内容中亦载明了韩女士偿还借款的意思表示，两份证据之间相互印证，可以认定韩女士向杨先生借款的事实。

在平常的生活中可能时时都存在着犯罪的现象，特别是借钱的问题，我们需要时时提高警惕，保留必要的证据，在需要的场合才能有事实证明。

第四篇：电子商务案例
案例：4050网上创业
2004年，网上创业成为电子商务发展的新亮点。

一年前，某市组织了“4050网上创业活动”，鼓励、帮助45岁左右的下岗职工进行再就业。

下岗职工张阿姨和王阿姨积极投入了这一活动，并且都申请到政府提供的2万元创业基金资助。

张阿姨开设了一家经营时尚商品的网上商店，以受教育程度较高。