【摘要】網(wǎng)絡(luò)發(fā)展很快，網(wǎng)購也是一樣，像現(xiàn)在特別火的淘寶、京東商城、聚美優(yōu)品等等，而對于電子商務(wù)來說，第一大障礙就是安全問題。對于現(xiàn)在很流行的網(wǎng)購，有第三方———支付寶來保駕護(hù)航，為網(wǎng)購安全帶來很大的保障。在電子商務(wù)領(lǐng)域，除了“網(wǎng)購釣魚”這種方式讓消費(fèi)者的財(cái)產(chǎn)受到威脅外，還有一種，就是欺詐。黑客一般都是少數(shù)存在的，而網(wǎng)絡(luò)欺詐行為確實(shí)誰都做的出來的，因此，電子商務(wù)的安全測試或者淘寶的安全測試應(yīng)該肩負(fù)起重任，讓廣大消費(fèi)者不受其害。本論文就是和大家一起討論什么是網(wǎng)站安全測試，網(wǎng)站安全測試可以給電子商務(wù)平臺帶來什么樣的影響？

【關(guān)鍵詞】網(wǎng)站安全測試電子商務(wù)平臺

一、網(wǎng)站安全測試的概述

當(dāng)一個網(wǎng)站建立完成并上傳到服務(wù)器后，就要針對這個網(wǎng)站進(jìn)行一項(xiàng)一項(xiàng)的測試，其中有一項(xiàng)就是對網(wǎng)站的服務(wù)器安全、腳本安全、可能存在的漏洞、攻擊性、錯誤性等進(jìn)行測試。它還要對電子商務(wù)的客戶服務(wù)器應(yīng)用程序、數(shù)據(jù)、服務(wù)器、網(wǎng)絡(luò)、防火墻等進(jìn)行測試，還要對相應(yīng)軟件進(jìn)行測試。這個就是網(wǎng)站安全測試。

二、網(wǎng)站安全測試在電子商務(wù)平臺的應(yīng)用

對于電子商務(wù)平臺，要求的就是用戶登錄信息的真實(shí)性，也就是說假如網(wǎng)站有一天被入侵，那么消費(fèi)者的真實(shí)信息就沒有很大的保障。因此，在電子商務(wù)領(lǐng)域，對Web應(yīng)用的安全性測試是非常必要的。就如2012年12月5號人民網(wǎng)發(fā)布的一個新聞：日本一15歲初中生成首個因“釣魚網(wǎng)站”被捕案例。該男生是一名初三的學(xué)生，1月份時(shí)2他從網(wǎng)上下載了制作程序建立釣魚網(wǎng)站，冒充大型會員制交友網(wǎng)站后，已將騙取的數(shù)十個賬號和密碼告知另外幾人，而其作案動機(jī)只是為了炫耀。先不管他的動機(jī)是什么，像這種利用“釣魚網(wǎng)站”騙取基本信息的行為就本身來說應(yīng)該引起大家的警示。像對于電子商務(wù)平臺，本來來說就是將實(shí)體店直接搬運(yùn)到網(wǎng)絡(luò)，運(yùn)用網(wǎng)絡(luò)來進(jìn)行交易，這樣就省去了現(xiàn)金的存取麻煩，但是這樣的交易又會引起很多的隱患，因此，做好網(wǎng)站安全的測試對于電子商務(wù)來說非常重要。

在電子商務(wù)領(lǐng)域，最流行的就是網(wǎng)購，據(jù)中國互聯(lián)網(wǎng)絡(luò)信息中心的數(shù)據(jù)顯示：2010年網(wǎng)絡(luò)購物的市場規(guī)模超過4300億元，相較于2009年，是有大幅度增長，在這樣大的交易額前提下，有很多人就會產(chǎn)生惡意的想法，因此“釣魚網(wǎng)站”、詐騙交易、交易劫持、網(wǎng)銀被盜等問題相繼出現(xiàn)。網(wǎng)站安全測試是一項(xiàng)保障網(wǎng)絡(luò)與消費(fèi)者權(quán)益的事件，其存在的必要性很大。

三、網(wǎng)站安全性測試的方法

一般來說網(wǎng)站安全性是從以下幾個方面著手的：（1）從注冊面著手?，F(xiàn)在的網(wǎng)站一般都是采用先注冊后登陸的方式，而在注冊時(shí)，一般安全性較高的網(wǎng)站都會有很多提示，比如用戶名是否有效、密碼和用戶名是否配套、密碼大小寫的區(qū)分等等，這些提示就代表一層一層的安全性防護(hù)，在檢測的時(shí)候還可以進(jìn)行多次嘗試，嘗試網(wǎng)站的各個點(diǎn)，看其限制有多少。最后還要看是否不用登陸就可以瀏覽。（2）從時(shí)間面著手。對于一些銀行支付網(wǎng)站，有一定的登陸超時(shí)限制，如果你只是登陸，然后沒有其他的操作，那么就會在到達(dá)一定的時(shí)間后直接給您下線，提示您重新登陸，因此在網(wǎng)站安全測試中要測試其是否得重新登陸才能正常使用。（3）從寫日志面著手。這里的日志跟我們平時(shí)寫的差不多，就是在進(jìn)行網(wǎng)站安全監(jiān)測時(shí)，會直接生產(chǎn)日志文件，這樣以便以后可以查看現(xiàn)在的區(qū)別、以前檢查的內(nèi)容、解決方法等。因此，要檢查測試的相關(guān)信息是否寫進(jìn)了日志文件，而這些文件是否能進(jìn)行追蹤。（4）加密。文件加密、網(wǎng)站加密這兩點(diǎn)在使用加密算法時(shí)是很重要的，要測試加密是否是正確的，還有信息是否完整。網(wǎng)站的腳本一般來說安全性就不是很高，常常會產(chǎn)生一些漏洞，因此要測試腳本的編輯與放置是否需要授權(quán)的問題。

以上所說的幾個方法是一個網(wǎng)站安全測試最基本的方法，在一般的檢測中，要注意以上的幾個問題，一般網(wǎng)站也不會發(fā)生什么很嚴(yán)重的漏洞。但是如果因?yàn)橥祽袥]做，就可能對網(wǎng)站、對電子商務(wù)造成很大的損失。

四、網(wǎng)站安全措施

網(wǎng)站安全是保證電子商務(wù)順利進(jìn)行的重要保證，因此我們必須有一個完整的網(wǎng)站安全保護(hù)措施。

1、登錄頁面必須加密。登錄頁面加密是一個基本的防護(hù)措施，但是對于一些黑客來說是易如反掌的。因?yàn)橹皇菍Φ卿浢婕用?，卻沒有對登錄頁面加密，這就會使一些惡意黑客偽造一個登錄表單，借以訪問同樣的資源，訪問敏感的數(shù)據(jù)，這種感覺就像是在一個房間，對房間的大門加了把鎖，但是，卻沒有對房內(nèi)的東西加密，這樣會使別人另外偽造一個門，從而從那邊進(jìn)去。

2、采取專業(yè)工具輔助。現(xiàn)在大多數(shù)用戶都會用360來進(jìn)行安全防護(hù)，這個是一個免費(fèi)軟件，同時(shí)防護(hù)性能相對還比較高。當(dāng)然還有很多其他的網(wǎng)站安全監(jiān)測平臺，這些平臺都能幫助用戶迅速的找到網(wǎng)站的安全隱患，而且會幫忙做出一些防護(hù)措施。

3、通過加密連接管理你的站點(diǎn)。對于一些不加密的網(wǎng)站連接，會使一些惡意人截獲登錄信息，然后進(jìn)行一些你可操作的的事。但是如果你使用了加密連接，這樣被截獲的可能性就降低了很多。

4、使用強(qiáng)健的、跨平臺的兼容性加密。就目前情況來看，傳輸層的安全更重要一些，這樣就是TLS比SSL更能保護(hù)網(wǎng)站的安全，但是要考慮的是這種加密方法不能對用戶基礎(chǔ)進(jìn)行限制。

5、只連接安全有保障的網(wǎng)站。在連接網(wǎng)站的時(shí)候，不要連接安全特性不確定的網(wǎng)絡(luò)，也不要連接安全性差的網(wǎng)絡(luò)，如果沒有安全保障的網(wǎng)絡(luò)，就必須使用一個安全代理，這樣對網(wǎng)絡(luò)安全又增加一道砝碼。對于一些未知的，或者是必須登錄到服務(wù)器的，就必須了解其安全性，這樣才能保證信息的安全。

6、不要共享登錄的機(jī)要信息。共享在一定程度上存在的安全隱患很大，很多文件就是由于共享而被一些不是共享內(nèi)的用戶給竊取的。共享的越多，公開共享的幾率就越大，這樣產(chǎn)生的安全隱患就越大。對于登錄憑證，不要共享，不然可能會被外網(wǎng)竊取。當(dāng)出現(xiàn)問題是，想要追查緣由就很困難，同時(shí)要改變共享登錄信息，就會波及很多人。

7、采用基于密鑰的認(rèn)證而不是口令認(rèn)證。在一定程度上，密鑰認(rèn)證比口令認(rèn)證更有安全保障一些，密鑰認(rèn)證時(shí)，將密鑰復(fù)制到一個早就定義好的、經(jīng)過授權(quán)的系統(tǒng)上，這樣就會得到一個難以攻破的認(rèn)證憑證。

8、維護(hù)一個安全的工作站。保障一個工作站的安全性是至關(guān)重要的，當(dāng)從一個客戶端連接到一個不知道是否安全的客戶端，如果不安全，那么像鍵盤記錄器、受到惡意損害的網(wǎng)絡(luò)加密客戶以及黑客們的其它一些破壞安全性的伎倆都會使一些未經(jīng)許可的人訪問那些敏感信息，這個時(shí)候，訪問的網(wǎng)站安全性再高都沒什么作用了。

9、運(yùn)用備份來保護(hù)網(wǎng)站?，F(xiàn)在出現(xiàn)了很多備份的軟件，當(dāng)數(shù)據(jù)備份后，不管黑客怎么刪除你的數(shù)據(jù)，至少你還有備份，這樣就不會使數(shù)據(jù)丟失。

10、確保對所有的系統(tǒng)都實(shí)施強(qiáng)健的安全措施、而不僅運(yùn)用特定的網(wǎng)站安全措施。采用強(qiáng)口令、加強(qiáng)外圍防御系統(tǒng)、及時(shí)更新軟件和為系統(tǒng)打補(bǔ)丁，同時(shí)還要關(guān)閉不使用的服務(wù)、數(shù)據(jù)加密等手段保護(hù)系統(tǒng)的安全。

五、小結(jié)

一個完整的安全性測試要從基礎(chǔ)結(jié)構(gòu)、輸入驗(yàn)證、身份驗(yàn)證、授權(quán)、配置管理、敏感數(shù)據(jù)、會話管理、加密、參數(shù)操作、異常管理、審核和日志記錄這幾個方面入手，雖然很繁瑣，但是存在的必要不言而喻。其實(shí)真正有了網(wǎng)站安全測試還不是保證網(wǎng)站一定是安全的，但是這樣可保證網(wǎng)站安全系數(shù)比較高。在電子商務(wù)這個敏感的平臺，網(wǎng)站的安全是大家首要關(guān)注的問題。就像淘寶網(wǎng)，一般消費(fèi)者優(yōu)先相信的就是評價(jià)高，有消費(fèi)者保障、7天包退等的店鋪，一般信譽(yù)越高的就會更讓大家所信賴。電子商務(wù)是一個很廣泛的平臺，不僅包括淘寶，還包括其他的一些，因此進(jìn)行網(wǎng)站安全測試，保證在沒有第三方支付平臺保證的情況下安全使用是尤為重要的。