§ 瀏覽學位論文書目資料
本論文紙本於2016-09-19起公開使用
| 系統識別號 | U0002-1407201115570200 |
|---|---|
| DOI | 10.6846/TKU.2011.01214 |
| 論文名稱(中文) | 建構一個更安全的電子商務交易環境 |
| 論文名稱(英文) | Build a more secure environment for e-commerce transactions |
| 第三語言論文名稱 | |
| 校院名稱 | 淡江大學 |
| 系所名稱(中文) | 資訊工程學系碩士在職專班 |
| 系所名稱(英文) | Department of Computer Science and Information Engineering |
| 外國學位學校名稱 | |
| 外國學位學院名稱 | |
| 外國學位研究所名稱 | |
| 學年度 | 99 |
| 學期 | 2 |
| 出版年 | 100 |
| 研究生(中文) | 康振昌 |
| 研究生(英文) | Cheng-Chang Kang |
| 學號 | 794190057 |
| 學位類別 | 碩士 |
| 語言別 | 繁體中文 |
| 第二語言別 | 英文 |
| 口試日期 | 2011-06-19 |
| 論文頁數 | 96頁 |
| 口試委員 |
指導教授
-
黃連進(micro@mail.tku.edu.tw)
委員 - 黃連進(chiang@cs.tku.edu.tw) 委員 - 葛煥昭(keh@cs.tku.edu.tw) 委員 - 蔣定安(micro@mail.tku.edu.tw) 委員 - 王鄭慈(ctwang@tea.ntue.edu.tw) |
| 關鍵字(中) |
資訊安全 |
| 關鍵字(英) |
Information Security |
| 第三語言關鍵字 | |
| 學科別分類 | |
| 中文摘要 |
一般電子商務網頁伺服器導入SSL或SET電子資料安全交易機制,目的是防止交易資料在傳輸的過程中被竊取或被篡改的情形,以完成資料通訊過程中的私密性。但是仍然時有所聞惡意的攻擊者趁虛而入電子商務網頁伺服器竊取或篡改交易資料的情形。因為網頁程式讀取或操作資料庫時,如果執行過程中未檢查從客戶端傳回網頁的變數資料,這種網頁變數資料的傳遞方式,容易造成網路上惡意的攻擊程式,發現網頁程式的弱點進行攻擊行為,產生資料在傳輸的過程中被竊取或被篡改的資訊安全問題。 本篇論文將作者處理許多發生資訊安全實務案例中,根據解決使用者問題的處理方式,挑選出一個如何防止發生個人資料外洩的電子商務交易事件為代表,利用防禦資料隱碼攻擊的方式,整合資訊安全系統架構中,弱點管理(Vulnerability Management)、威脅管理(Threat Management)、系統記錄檔管理(Log Management)防護網路應用層功能之實務應用。此安全防護機制不需要變更既有的網路組態與現有的網站應用程式,並且減少網站維護者微調防護設定的時間,是一個有效又更加安全的電子商務交易防護機制。 |
| 英文摘要 |
Implementing electronic transaction data security mechanism (such as SSL and SET) upon e-commerce web servers is to ensure data communication privacy via protecting the transaction data from being stolen or changed in the transmission process。While malicious attacks of stealing or changing transaction data on e-commerce web servers are still happening。When web programs are accessing or manipulating on the database, the malicious attacking program would use this weak point and effect the attack if there is no examination of web page variable data in the transmitting data back from client end. This results in information security problem of data stolen or changes in the transmission process. The writer of this paper, based on previous experience in preventing personal data leaking of e-commerce transaction, developed a security protection mechanism defending SQL injection and integrating Vulnerability Management, Threat Management and Log Management of network application layer protection。This security protection mechanism of e-commerce transaction is proved to be effective and secure with advantages of no changes in existing network configuration / web page programs and time reduction in network setting adjustment of website administrator. |
| 第三語言摘要 | |
| 論文目次 |
第一章 緒論 1
1.1 研究緣起 1
1.2 研究目的 5
第二章 文獻探討 7
2.1 常見的網路攻擊 7
2.2 影響層面描述 8
2.3 重要名詞詮釋 9
第三章 攻擊範例解說 13
3.1 攻擊成立的前提 13
3.2 攻擊範例 15
第四章 防範的方式 20
4.1 嚴格遵守程式撰寫注意要點 20
4.2 嚴格遵守資料庫管控要點 24
4.3 加強動態網頁管控要點 24
第五章 整合性資安防禦架構 27
5.1 風險防護描述 27
5.2 日常防護方式 32
5.3 研究工具 33
第六章 實務Q論 40
6.1 測試架構 40
6.2 測試實例 43
6.3 效益分析 68
第七章 結論與建議 77
7.1 結論 77
7.2 建議 79
參考文獻 80
附錄 英文論文 83
圖目錄
圖1.1 台灣家戶連網普及率歷年比較。 2
圖1.2 住戶六大應用服務產值推估。 3
圖1.3 網站資安弱點攻擊排名。 4
圖3.1 程式碼中資料庫之帳號密碼。 13
圖3.2 單引號(' ')於程式中的表示法。 14
圖3.3 使用錯誤訊息獲得資料表的大致結構。 18
圖3.4 使用錯誤訊息獲得資料表的大致結構。 19
圖5.1 資訊安全系統架構。 31
圖5.2 應用程式防火牆系統架構。 36
圖6.1 檢測與防禦資料隱碼攻擊流程圖。 41
圖6.2 網頁應用程式掃瞄結果。 43
圖6.3 網頁應用程式,程式弱點描述。 44
圖6.4 網頁應用程式掃瞄設定畫面。 45
圖6.5 網頁應用程式掃瞄設定畫面。 46
圖6.6 網頁應用程式掃瞄設定畫面。 47
圖6.7 網頁應用程式掃瞄設定畫面。 47
圖6.8 梭子魚應用程式防火牆操作流程圖。 49
圖6.9 應用程式防火牆首頁。 50
圖6.10 應用程式防火牆首頁。 51
圖6.11 應用程式防火牆首頁。 52
圖6.12 應用程式防火牆防護記錄檔。 53
圖6.13 應用程式防火牆統計各項攻擊類型。 54
圖6.14 應用程式防火牆統計攻擊者IP細項攻擊類型。 55
圖6.15 應用程式防火牆統計被攻擊者IP遭受何種攻擊。 56
圖6.16 應用程式防火牆防護報表。 57
圖6.17 應用程式防火牆設定開啟保護。 58
圖6.18 網頁應用程式掃瞄設定畫面。 59
圖6.19 應用程式防火牆封鎖記錄。 60
圖6.20 應用程式防火牆連接記錄。 61
圖6.21 正規表示法搜尋軟體檔案資料匯入。 62
圖6.22 正規表示法搜尋軟體資料搜尋畫面。 63
圖6.23 正規表示法搜尋軟體搜尋結果。 64
圖6.24 開放被應用程式防火牆禁止開啟的網頁。 65
圖6.25 正規表示法搜尋軟體搜尋的結果。 66
圖6.26 應用程式防火牆微調設定。 67
|
| 參考文獻 |
[1].資策會(2011):2010年我國家庭寬頻現況與需求調查。 2011年02月1日,取自http://www.find.org.tw/find/home.aspx?page=many&id=280 [2].資策會(2010):2010年社區寬頻導入需求與關鍵應用商機調查。2010年11月18日,取自http://www.find.org.tw/find/home.aspx?page=many&id=273 [3].OWASP. (2010).”OWASP T10 – 2010” November13,2009, http://www.owasp.org/index.php/File:OWASP_T10_-_2010_rc1.pdf [4].麟瑞科技(2008):網路攻防技術研討課程Day 2。2008年04月24日,取自http://140.125.32.10/network_security2008/%E7%B6%B2%E8%B7%AF%E6%94%BB%E9%98%B2%E8%AA%B2%E7%A8%8B-Day%202_wo_google.pdf [5].OWASP. (2010). ”Category:OWASP Top Ten Project”April 19, 2010, from http://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project [6].Tracy Kitten. (2010). “ACFE 2010 on Internal Fraud Losses” June 03, 2010, from http://www.govinfosecurity.com/articles.php?art_id=2601&rf=2010-06-04-eg [7]. Department of Justice. (2009). “Attack on Heartland” August17, 2009, from http://www.justice.gov/opa/pr/2009/August/09-crm-810.html [8].李鴻鵬(2010):和春技術學院資工系教學網頁,2010年02月16日,取自http://center.fotech.edu.tw/~hpl/information%20security.htm [9].陳培德(2002):SQL Injection (資料隱碼) 簡介,2002年04月25日,取自http://tnrc.ncku.edu.tw/course/91/17-SQL.ppt [10].Microsoft(2002):駭客的 SQL填空遊戲,2002年06月28日,取自http://www.microsoft.com/taiwan/sql/SQL_Injection_G1.htm [11].知識詞典(2008):一些防止SQL注入攻擊的方法,2008年10月05日,取自http://blog.dic123.com/article.asp?id=425 [12].Microsoft(2009):IISLockdown使用說明,2009年01月26日,取自http://technet.microsoft.com/en-us/library/dd450372(WS.10).aspx [13].Microsoft(2004):如何設定 URLScan 工具,2008年07月07日,取自http://support.microsoft.com/kb/326444/zh-tw [14]. IIS. (2004). “Using the URL Rewrite Module”May30, 2008, from http://learn.iis.net/page.aspx/460/using-the-url-rewrite-module/ [15].Barracuda Network(2010):Barracuda 梭子魚應用程式防火牆簡介,2010年3月16日,取自http://www.barracudanetworks.com/ns/downloads/Tech_Datasheets/Barracuda_Web_Application_Firewall_TDS_US.pdf |
| 論文全文使用權限 |
如有問題,歡迎洽詢!
圖書館數位資訊組 (02)2621-5656 轉 2487 或 來信