《浅析在小型电子商务网站中使用免费模板建站的安全问题》_开题报告

　　随着电子商务产业在国内的兴起与发展，很多的创业者与再就业者在创业初期选择了在大的电商平台搭建自己的网上商铺。随着业务规模的扩大，也有部分从业者开始选择了搭建属于自己的电子商务网站，通过完全是自己打造的网页和后台程序，来提供更加丰富的功能及独具特色的用户界面。在选择自己搭建网站的过程中，出于控制成本以及提高开发效率的考虑，网站开发者常常选用开源的或是免费网页模板和架构，加上简单设计的后台数据库来快速搭建网站。与大的电商平台的解决方案相比，自己开发的小型网站因为开发人员的技术、经验、运行环境、测试周期等因素的影响，程序代码的可靠性、服务器的安全性、容错性都处于相对较低的水平，一旦存在软件上的缺陷，被不法分子利用并攻击后，会造成重大的财产以及声誉上的损失，对商家造成严重的影响。

　　一般网站都使用浏览器-服务器(B/S)架构来实现数据传输及逻辑处理，与过去传统的C/S架构相比，客户端数据被篡改、服务器端被恶意攻击的风险更大。如何保障网站的信息安全、交易的资金安全、确保交易双方的合法权益是网站建设过程中必须考虑的要素。

　　常见的网站构成，分为底层的操作系统，中间层则是Web服务器、数据库服务器，以及其他基础服务组件（如Java SDK、.Net Framework等），还有上层的网页应用程序。所以网站安全就需要包括底层操作系统安全、中间层服务组件的安全、以及上层网页程序的安全。

　　针对底层操作系统，常见的威胁来自于计算机病毒及恶意软件的执行。计算机病毒是编制者在计算机程序中插入的破坏计算机功能或者数据的代码，能影响计算机使用，能自我复制的一组计算机指令或者程序代码。恶意软件是指在计算机系统上执行恶意任务的病毒、蠕虫和特洛伊木马的程序，通过破坏软件进程来实施控制。对于防范病毒及恶意软件的攻击，国内常见的安全对策有：保持服务器的操作系统安装最新的服务包和软件补丁；启用防火墙，并关闭服务器的多余端口；禁用不使用的功能，包括协议和服务；设置文件和目录的权限；禁用匿名账户，为系统账户及普通用户设置强密码策略等方式。

　　针对Web服务器及数据库服务器，常见的威胁来源于任意执行代码、未授权访问、滥用过高权限等攻击方式。国内常见的安全对策有：设置严格的访问控制列表；配置安全的Web 权限；强化日志记录；采用合适的用户和密码策略等方式。

　　针对服务器上的中间服务组件，一般认为受到的攻击与底层操作系统相类似，多由病毒或恶意软件引起，所以常见的对策与操作系统的相同，另外需要及时把所用到的组件更新到最新的补丁和安全包。

　　针对上层的网页应用程序，根据具体使用的代码及架构的不同，设计或编写不良的代码可能存在各种各样不同的漏洞和缺陷。常见的漏洞有：SQL注入；目录遍历；跨站请求伪造；跨站脚本；不安全的会话校验；不安全的密码验证等。其中发生比例非常高的SQL注入漏洞，一般的对策有将查询参数化、对查询变量进行扫描或加密等方式。不同类型的漏洞一般有具体不同的解决方案，在本报告中不详细阐述，范文中会对常用免费代码中常见的漏洞对策做探讨。

　　相比其他层面中的软件漏洞，网页应用程序中的不良代码所导致的问题更加隐蔽，而且更容易造成严重的后果。特别是从网上下载到的很多免费代码，部分没有使用许可，部分开源代码在使用许可中申明对使用后产生的问题不承担任何责任，这就使程序代码的安全问题更加突出。常见建站的模板代码中，是否存在各种漏洞和缺陷，范文中将进行测试和对策探讨。

二、范文提纲

一 综述

（一）小型电子商务网站的现状及背景

（二）网站安全问题概述

二 安全问题研究范围

（一）网页程序中常见问题漏洞概述

（二）常用免费建站技术方案介绍

（三）安全问题检测及论证方案

三 简单购物网站实现

简单购物网站功能概述

系统结构及开发工具

系统设计（功能模块及DB设计）

代码概述

四 安全问题测试及分析

SQL注入漏洞的检测

目录遍历漏洞的检测

跨站请求伪造漏洞的检测

跨站脚本漏洞检测

会话安全性检测

密码安全性检测

安全对策及结论

五 总结

三、参考文献

著作：

[1]李剑等.信息安全概论[M].北京：机械工业出版社.2009.1

[2]曹小平.网站安全管理与维护[M].西南交通大学出版社.2017.7

[3]魏江来.Web服务器安全威胁与防范技巧[J].办公自动化杂志. 2012.9:27-29

[4]郑雷雷等.B/S 架构软件的安全性测试研究[J].计算机技术与发展.2012.1:221-224

[5]张安杰等.Web信息系统安全研究与应用[J].西安理工大学学报.2007.v23:205-208

[6]文蓉.电子商务网站开发中数据库安全问题分析[J].计算机安全.2007.12:56-58

[7]王青国.浅析Web应用软件开发安全[J].计算机系统应用.2013.v22:5-9

[8]钟文建.浅析网站安全隐患及应对策略[J].中小企业管理与科技.2015.2:314-316

[9]李鑫等.新型SQL注入及其防御技术研究与分析[J].信息网络安全.2016.2:66-73

[10]徐竹冰.网站应用层安全防护体系[J].计算机系统应用.2012.v21:81-85

[11]赛门铁克公司.Symantec’ s 2018 Internet Security Threat Report (ISTR)（赛门铁克 2018 年互联网安全威胁报告）[Z], s:// .symantec.com/zh/cn/security-center.2018年4月

[12] 维基百科.wikipedia.Cross-site request forgery[Z]. s://en.wikipedia.org/wiki/Cross-site_request_forgery.2018.9