浅谈网站安全测试对电子商务平台的影响

【摘要】网络发展很快，网购也是一样，像现在特别火的淘宝、京东商城、聚美优品等等，而对于电子商务来说，第一大障碍就是安全问题。对于现在很流行的网购，有第三方———支付宝来保驾护航，为网购安全带来很大的保障。在电子商务领域，除了“网购钓鱼”这种方式让消费者的财产受到威胁外，还有一种，就是欺诈。黑客一般都是少数存在的，而网络欺诈行为确实谁都做的出来的，因此，电子商务的安全测试或者淘宝的安全测试应该肩负起重任，让广大消费者不受其害。本论文就是和大家一起讨论什么是网站安全测试，网站安全测试可以给电子商务平台带来什么样的影响？

【关键词】网站安全测试电子商务平台

一、网站安全测试的概述

当一个网站建立完成并上传到服务器后，就要针对这个网站进行一项一项的测试，其中有一项就是对网站的服务器安全、脚本安全、可能存在的漏洞、攻击性、错误性等进行测试。它还要对电子商务的客户服务器应用程序、数据、服务器、网络、防火墙等进行测试，还要对相应软件进行测试。这个就是网站安全测试。

二、网站安全测试在电子商务平台的应用

对于电子商务平台，要求的就是用户登录信息的真实性，也就是说假如网站有一天被入侵，那么消费者的真实信息就没有很大的保障。因此，在电子商务领域，对Web应用的安全性测试是非常必要的。就如2012年12月5号人民网发布的一个新闻：日本一15岁初中生成首个因“钓鱼网站”被捕案例。该男生是一名初三的学生，1月份时2他从网上下载了制作程序建立钓鱼网站，冒充大型会员制交友网站后，已将骗取的数十个账号和密码告知另外几人，而其作案动机只是为了炫耀。先不管他的动机是什么，像这种利用“钓鱼网站”骗取基本信息的行为就本身来说应该引起大家的警示。像对于电子商务平台，本来来说就是将实体店直接搬运到网络，运用网络来进行交易，这样就省去了现金的存取麻烦，但是这样的交易又会引起很多的隐患，因此，做好网站安全的测试对于电子商务来说非常重要。

在电子商务领域，最流行的就是网购，据中国互联网络信息中心的数据显示：2010年网络购物的市场规模超过4300亿元，相较于2009年，是有大幅度增长，在这样大的交易额前提下，有很多人就会产生恶意的想法，因此“钓鱼网站”、诈骗交易、交易劫持、网银被盗等问题相继出现。网站安全测试是一项保障网络与消费者权益的事件，其存在的必要性很大。

三、网站安全性测试的方法

一般来说网站安全性是从以下几个方面着手的：（1）从注册面着手。现在的网站一般都是采用先注册后登陆的方式，而在注册时，一般安全性较高的网站都会有很多提示，比如用户名是否有效、密码和用户名是否配套、密码大小写的区分等等，这些提示就代表一层一层的安全性防护，在检测的时候还可以进行多次尝试，尝试网站的各个点，看其限制有多少。最后还要看是否不用登陆就可以浏览。（2）从时间面着手。对于一些银行支付网站，有一定的登陆超时限制，如果你只是登陆，然后没有其他的操作，那么就会在到达一定的时间后直接给您下线，提示您重新登陆，因此在网站安全测试中要测试其是否得重新登陆才能正常使用。（3）从写日志面着手。这里的日志跟我们平时写的差不多，就是在进行网站安全监测时，会直接生产日志文件，这样以便以后可以查看现在的区别、以前检查的内容、解决方法等。因此，要检查测试的相关信息是否写进了日志文件，而这些文件是否能进行追踪。（4）加密。文件加密、网站加密这两点在使用加密算法时是很重要的，要测试加密是否是正确的，还有信息是否完整。网站的脚本一般来说安全性就不是很高，常常会产生一些漏洞，因此要测试脚本的编辑与放置是否需要授权的问题。

以上所说的几个方法是一个网站安全测试最基本的方法，在一般的检测中，要注意以上的几个问题，一般网站也不会发生什么很严重的漏洞。但是如果因为偷懒没做，就可能对网站、对电子商务造成很大的损失。

四、网站安全措施

网站安全是保证电子商务顺利进行的重要保证，因此我们必须有一个完整的网站安全保护措施。

1、登录页面必须加密。登录页面加密是一个基本的防护措施，但是对于一些黑客来说是易如反掌的。因为只是对登录面加密，却没有对登录页面加密，这就会使一些恶意黑客伪造一个登录表单，借以访问同样的资源，访问敏感的数据，这种感觉就像是在一个房间，对房间的大门加了把锁，但是，却没有对房内的东西加密，这样会使别人另外伪造一个门，从而从那边进去。

2、采取专业工具辅助。现在大多数用户都会用360来进行安全防护，这个是一个免费软件，同时防护性能相对还比较高。当然还有很多其他的网站安全监测平台，这些平台都能帮助用户迅速的找到网站的安全隐患，而且会帮忙做出一些防护措施。

3、通过加密连接管理你的站点。对于一些不加密的网站连接，会使一些恶意人截获登录信息，然后进行一些你可操作的的事。但是如果你使用了加密连接，这样被截获的可能性就降低了很多。

4、使用强健的、跨平台的兼容性加密。就目前情况来看，传输层的安全更重要一些，这样就是TLS比SSL更能保护网站的安全，但是要考虑的是这种加密方法不能对用户基础进行限制。

5、只连接安全有保障的网站。在连接网站的时候，不要连接安全特性不确定的网络，也不要连接安全性差的网络，如果没有安全保障的网络，就必须使用一个安全代理，这样对网络安全又增加一道砝码。对于一些未知的，或者是必须登录到服务器的，就必须了解其安全性，这样才能保证信息的安全。

6、不要共享登录的机要信息。共享在一定程度上存在的安全隐患很大，很多文件就是由于共享而被一些不是共享内的用户给窃取的。共享的越多，公开共享的几率就越大，这样产生的安全隐患就越大。对于登录凭证，不要共享，不然可能会被外网窃取。当出现问题是，想要追查缘由就很困难，同时要改变共享登录信息，就会波及很多人。

7、采用基于密钥的认证而不是口令认证。在一定程度上，密钥认证比口令认证更有安全保障一些，密钥认证时，将密钥复制到一个早就定义好的、经过授权的系统上，这样就会得到一个难以攻破的认证凭证。

8、维护一个安全的工作站。保障一个工作站的安全性是至关重要的，当从一个客户端连接到一个不知道是否安全的客户端，如果不安全，那么像键盘记录器、受到恶意损害的网络加密客户以及黑客们的其它一些破坏安全性的伎俩都会使一些未经许可的人访问那些敏感信息，这个时候，访问的网站安全性再高都没什么作用了。

9、运用备份来保护网站。现在出现了很多备份的软件，当数据备份后，不管黑客怎么删除你的数据，至少你还有备份，这样就不会使数据丢失。

10、确保对所有的系统都实施强健的安全措施、而不仅运用特定的网站安全措施。采用强口令、加强外围防御系统、及时更新软件和为系统打补丁，同时还要关闭不使用的服务、数据加密等手段保护系统的安全。

五、小结

一个完整的安全性测试要从基础结构、输入验证、身份验证、授权、配置管理、敏感数据、会话管理、加密、参数操作、异常管理、审核和日志记录这几个方面入手，虽然很繁琐，但是存在的必要不言而喻。其实真正有了网站安全测试还不是保证网站一定是安全的，但是这样可保证网站安全系数比较高。在电子商务这个敏感的平台，网站的安全是大家首要关注的问题。就像淘宝网，一般消费者优先相信的就是评价高，有消费者保障、7天包退等的店铺，一般信誉越高的就会更让大家所信赖。电子商务是一个很广泛的平台，不仅包括淘宝，还包括其他的一些，因此进行网站安全测试，保证在没有第三方支付平台保证的情况下安全使用是尤为重要的。