有关中国团购网站安全报告（节选）毕业论文写作资料-论文写作网

简介:适合网站用户论文写作的大学硕士及相关本科毕业论文，相关网站用户开题报告范文和学术职称论文参考文献下载。

网站用户论文范文

团购网站的安全Ol题可能导致许多不良后果,轻则使得网站无法访问,造成短期的流量损失,影响收益：重则会使消费者遭受重大损失,从而使企业信誉受到重创,长期影响品牌形象和收益.根据绿盟科技在安全领域的多年经验,一般来说,企业网站因安全问题而导致的严重后果主要有三类：网站打不开,用户被仿冒网站欺骗,以及用户和企业双方的信息和数据丢失.

绿盟科技经过对现存的近1500个大大小小的团购网站的调查和检测,发现团购行业的安全现状存在诸多问题,随时可能遇到上述三种麻烦.下面列出一些较为重要的检测结果和数据：

●至少有58%的团购网站的可正常访问的比例低于80%.

●仅开放80端口的网站仅有44个,其中大部分都是大型团购网站或背靠大型互联网公司的团购网站.

●高达80%的团购站没有使用任何加密措施.

●91%的网站存在引用其他网站内容（即第三方内容）的情况.

从以上数据看出,很多团购网站运维和安全水平都比较低.一方面由于网站经常出现不可访问的情况,会直接影响团购网站形象和收入,另一方面由于缺乏必要的安全意识导致网站和团购网站用户很容易遭受损失.

一、网站打不开

网站能打开是用户浏览网站的基本前提.对于靠网站支撑业务的互联网行业来讲,如果网站都无法打开,一切努力、目标和愿景都会变成浮云,团购网站尤其如此.报告开头的事例,就是一个典型的因网站不可用导致损失的事例.对于站长来说,保证网站的可用性是第一步.

绿盟科技为了调查团购网站在可用性方面的现状,用了一周的时间,对大大小小将近1500个团购网站,分别从上海,武汉、沈阳三地共进行了近700次的可用率检测,检测结果令人担忧.

总结一下表],值得注意的是,三地至少有50%的团购网站的20%用户访问网站时遇到无法打开网站的情况.换句话说,对于这50%以上的团购网站,经过检测,每100次访问中,就会有20几次无法正常显示页面.

团购网站的流量一般和收益成正比,可以很容易地计算出因为网页无法正常显示所带来的收益的损失量有多少,而这种损失本是可以避免的.

那么哪些具体的原因有可能导致网站不可用呢7DDoS攻击

通俗地说,DDoS攻击就是通过大量恶意访问造成网站瘫痪,造成网站不可用.这是造成前面案例中的团购网站损失的原因之一.

DNS解析错误

DNS解析错误就是,当访问者正常的输入*www.n论文范文ocus.com时,本应该对应某一特定lP地址进而进入网站,但是因为某些原因,例如受到恶意的DNS劫持,使得这种对应关系被打破,进而服务器无法找到本应找到的网站,造成网站无法访问.关于DNS劫持,下文会进行专门介绍.

网站被挂马

当网站被挂马后,访问者在访问该网站的时候,所使用的浏览器、防病毒软件、防火墙等各类具有安全功能的软件都会发出提示,阻止用户访问被挂马站点,以确保用户安全.用户看到提示后,往往都不会再打开这个网站,因此、司接导致网站不可访问.前面的案例中提到的被挂马,就属于这种情况.

二、用户／网站敏感数据丢失

如果缺乏必要的安全意识,没有采取必要的安全防护工作,网站很可能将遭受攻击.导致的后果就是,网站用户或者网站本身的数据受到窃取,继而被利用来获得不法收入.因此团购站长应该尽量减少网站的漏洞,减少被入侵的可能,让用户放心地在网站上进行消费.

端口漏洞

对于网站管理人员来说,关闭不必要的湍口是最基本的安全常识.端口越多,安全漏洞越多.绿盟科技就此检验了团购网站的端口开放情况,结果发现,1096个团购网站中,仅开放80端口的站点只有44个,占总数的4%.也就是说,绝大多数网站在端口方面存在漏洞,给非法入侵者窃取数据留有机会.这个数据说明目前团购网站的站长对于网站安全的关注度比较低.

在这仅有的44个网站中,大部分为比较大型和知名的团购站,例如专业团购站拉手网,以及淘宝聚划算、新浪、腾讯、点评等互联网门户网站旗下的团购站.这说明了背靠这些大型企业的团购网站有更强的网站管理和安全意识.

服务器漏洞

通常来说,服务器漏洞跟服务器的品牌和版本是一一对应的.根据网站使用的服务器及其版本,可以对应着找出存在着哪些漏洞.绿盟科技在本次普查过程中主要是通过版本检查的方式获取服务器的漏洞情况,除此之外,绿盟科技提供免费的互联网网站安全体检服务(http,//wsp.n论文范文ocus.net/).

经过绿盟科技对这些团购站的检测,发现这些团购网站使用的所有类型和版本的服务器中,使用最多的品牌是微软的IIS紧随其后的是Apache,而使用最多的版本是微软的IIS 6.0,其他版本使用情况分布不一.针对微软IIS6 0常见的漏洞如下：

Microsoft lS脚本文件名错误解析漏洞

Microsoft IIS重复参数请求拒绝服务漏洞 (MSI0-065)

Microsoft IIS认证令牌处理远程代码执行漏洞 (MS10-040)

Microsoft IIS畸形文件扩展名绕过安全限制漏洞

用户:新京报：网站用户信息被泄事件已查处

三、用户被仿冒网站欺骗欺诈

如果说网站不可用带来的主要是短期流量和收益的损失,那么,用户被仿冒网站欺骗到欺骗,带来的将不仅是对短期收益的负面影响,更是对长期商誉和品牌形象的巨大打击.从手段上来看,不法分子有各种各样的方法对网站用户进行诱骗+或对其信息进行窃取,例如通过IM社区、社交网站等途径发布钓鱼网站链接,利用银行或电子商务网站漏洞将网站用户直接引至钓鱼网站,等等,从而非法谋取利益.团购网站属于电子商务网站的一种,很有可能成为不法分子用来牟利的跳板.因此,作为团购网站的站长,不得不考虑如何降低网站被利用的风险,防止自己的消费者因为对自己的信任而造成了财产上的损失和情感上的伤害.绿盟科技将一一列举和分析有哪些安全隐患可能会造成用户受到欺诈的恶劣后果.

可用其他来源内容

有网站维护经验的人都知道,在建立网站和网页过程中,有时会直接通过链接引用其他网站的内容（包括文字,图片、Flash、J论文范文aScript脚本等各类网站资源）,使其显示在自己的网站上.网站访问者并不关心、也不知道这些资源来自于其他网站.这种来自于其他网站的内容都被通称为“第三方内容”.

由于第三方内容实际上获得了和原网站一样可以访问用户浏览器中显示的内容,甚至窃取用户的机密数据,从而导致网站“被黑”、“被挂马”、“被钓鱼“等多种安全事件,最终导致用户被仿冒网站欺骗的问题.

绿盟科技对近1500个团购网站进行了调研和检测后发现,在中国的团购网站中,引用第三方内容是一种非常普遍的做法,表2是具体检测结果：

从表2中可以清楚地看到,高达91%的团购网站引用了第三方内容：77%的团购网站页面引用了第三方内容.这意味着,大部分的团购网站的安全性并不完全可控,很容易受控于某些第三方网站.

从包含第三方内容网站的数量分布来看,所检测的一千多个团购站中,没有发现特定规律,有些网站没有或者只有一两个第三方内容,而引用最多的网站则高达两千多处,中间的分布也非常平均.平均来看1169个团购网站,每个网站引用第三方内容的数量约为281个,也就是平均每个网站有281个机会通过被劫持第三方内容而被入侵,从而导致网站被黑用户信息丢失等各种安全事件.

为了降低第三方内容带来的安全问题,最有效的方法就是尽量少直接引用第三方内容.确实需要引用时,应尽量选择新浪、百度,腾讯等安全程度较高的网站内容进行引用.

网站未加密或加密有缺陷

安全加密通道SSL可以避免用户的数据在传输过程中被窃取,从而能够保障用户数据的安全性,与SSL相关的概念是TSL,TSL可以认为是SSLv3的升级版本,安全性最高.本次共检测1480个团购网站,其中存在不同程度SSL安全漏洞的网站占总数的94%之多.检测结果分为以下四类：

(1)不支持数据加密,也就是不支持任何SSL和TSL协议.此类网站共检测出1188个,占总数80%是安全问题最大也是存在问题数量最多的一个；

(2)版本太低.此类网站有210个,占14%,它们只支持SSLv2协议.

(3)密钥太短.有292个网站或多或少采用128位以下的算法,这是非常不安全的.

(4)数据加密无漏洞.只有这类网站可以认为不存在明显的安全隐患,遗憾的是数量仅有82个,仅占总数的6%.

图4中,红色部分定义为安全,指的是使用了安全加密方法的网站数量；蓝色部分定义为存在漏洞,这部分网站使用了加密方法,但是由于版本和密钥长度原因,并不完全处于安全状态中：绿色部分定义为不安全,为完全没有使用任何加密方法的网站数量.

域名被劫持

当DNS劫持发生时,用户流量被引导到仿冒网站,而这些仿冒网站通常又会做得和正常的网站一模一样,网站用户很难察觉.一旦用户输入了自己的支付论文范文就很容易导致经济损失.等用户察觉到后,通常就会把过错全部记到团购网站的头上,严重影响团购网站的信誉.

要想避免遭到DNS攻击,站长可以根据DNS相关的各项RFC标准,对DNS进行标准设置,这样就可以很大程度上减少其被攻击的风险.

绿盟科技参考RFC的要求为团购网站的域名服务器检查了27项配置,并从中选择了3项最为重要的标准进行了检测.以下是检测结果：