网络支付调研.docx
《网络支付调研.docx》由会员分享,可在线阅读,更多相关《网络支付调研.docx(19页珍藏版)》请在冰点文库上搜索。
网络支付调研
A.阅读本页后的两个安全案例并浏览中国工商银行主页()的”安全提示”.
1)SSL与U盾是否已被击破?
请对网银服务器端安全机制提出建议。
2)在目前环境下,网银用户操作要注意什么问题,为什么?
B.考察PayPal2010年8月推出的外贸门户网站https:
//www.paypal-,
3)分析PayPal公司经营中国跨境B2C电子商务平台的的核心能力。
4)介绍PayPal外贸门户网站的服务。
5)分析PayPal平台的一个跨境电子商务案例。
6)分析中国银联开辟商城业务的核心竞争能力。
C.市场中的信用是指在协议约束下受信人以日后偿还方式从授信人取走商品或货币的行为.
7)赊销(信用销售)是基于信用的销售,是签约后卖方让买方取货,而买方依约在规定日期
付款或以分期方式付清货款的过程.调研赊销的案例,分析其价值/条件/风险/对策.
8)调研中小商家快速外贸平台敦煌网的贷款服务,分析其价值/条件/风险/对策。
9)调研建行联贷联保服务,分析其对中小企业发展的意义。
D.10)调研基于电视机顶盒的支付与购物的发展情况及市场前景。
网络黑客公开叫卖网银木马称U盾也会被攻破
2009-04-1413:
05:
12我要评论(0)
“定做网页木马”,“出售各种游戏木马定做箱子”,“本公司最新业务:
远程种植木马,远程监控入侵”……近来有不少读者向本报反映,在论坛上灌水时常常能看到类似的帖子,一些黑客公开在网上叫卖木马病毒程序,不仅有失公德,也给网民带来很大的网络安全隐患。
记者调查发现,在网上叫卖木马病毒的卖家不少,声称能攻破银行U盾。
银行专业人士告诉记者,黑客所说的并非危言耸听,但网民如果能养成良好的上网习惯,还是能避免被侵害的可能的。
A网银木马400元叫卖
互联网的普及,让网络成为省城市民生活中很重要的一部分。
而今年央视“3·15”晚会上曝光黑客盗取用户电脑的信息后,网络在给市民生活带来方便的同时,也让习惯使用网银的客户感到后怕。
“现在还有什么隐私可言?
我们上网已不亚于裸奔了!
”市民陈先生无奈地告诉记者,他的QQ密码、部分传奇游戏的装备等先后被人盗取,现在在论坛上经常能看到有人在叫卖网银木马,他更是不敢再去使用网银。
按照陈先生提供的线索,记者联系上了几个木马卖家。
网名为“木马王子”的卖家表示,他长期给人定做网页木马,能应对一切版本的IE,可躲避现在所有杀毒软件的查杀,自动关闭瑞星、金山等杀毒软件和防火墙。
据了解,木马买回之后,买家可以自己去网络上各个论坛“挂马”,就是在别人电脑中植入木马程序,如果想大规模“挂马”,需找流量商购买流量。
挂完木马之后,买家还需建立一个“箱子”,用来接收网银账号、密码等受害人的电脑信息。
“中了木马的电脑我们叫‘肉鸡’,只要你提供木马‘箱子’地址,‘肉鸡’所有电脑信息都会发到你的木马‘箱子’里。
”“木马王子”表示,这些木马程序使用起来很简单,开价400元一个,程序附带一个简单教程。
网名“黑客天下”的卖家宣称,他专门制作大型黑客程序,一个程序的卖价1200元,可以轻松破解邮箱密码、移动手机密码等,“网银木马是普通的程序,400元一个,但风险比较大,容易被人发现”。
B黑客网上巨额敛财
360安全专家石晓虹博士在接受本报采访时表示,网络论坛的确已经成为木马产业的“据点”,一方面是网络犯罪的巨额利益刺激了此类地下社区的兴起,另一方面不法分子通过网络行为进行分工组织,大大降低了网络犯罪的门槛。
“黑客对于网银用户的攻击在近些年是一直存在的”,石晓虹向记者讲述了在央视3·15晚会之后发生的一起网银被盗案件,北京地区一位李先生因为缺乏自我保护意识而导致网银被盗十余万元。
事件的起因是李先生在某购物网站求购手机充值卡,随即被一个打着特价幌子的店铺吸引,该店主以享受优惠的流程为由要求李先生先向自己的账户转入1元钱,并发来一个支付网址。
事实上这是钓鱼网页的地址,李先生用自己网银账户登录后发现支付界面一直处于“没有响应”的状态,对方又远程“指导”李先生进行操作,李先生轻信了该店主的花言巧语,任由对方通过QQ远程登录自己的桌面进行操作。
事后半天内李先生突然收到银行的转账短信通知,自己登录网银却发现密码已被更改,随后紧急联系银行,才发现账户中十余万元存款已被尽数转走。
通过这一案例可以发现,在大额网银盗窃行为中,不法分子往往会把技术手段和诈骗手段结合使用,所谓技术手段,即是网银盗号木马、远程控制木马或伪造网银的钓鱼页面,而诈骗手段则主打各种诱惑信息,使受害用户更容易落入圈套,提高了行窃的成功率。
石晓虹告诉记者,利用木马的网银犯罪更常见的是对大众版网银进行小额盗窃,如此一来,不法分子只需通过木马监控到受害用户的网银账户信息,而多数用户丢了钱自己并不知道,所以国内目前并没有网银被盗的官方统计数字。
但如果以美国这样的互联网发达国家为参照,国内网银被盗金额一年的规模应在40亿人民币以上。
CU盾也会被攻破
U盾曾被称为网银最安全的防护网,但一些木马卖家则向记者宣称,他们可以攻破任何版本的U盾。
目前省城各大银行为加强网银的安全性能,都为用户准备了U盾(用于网上银行电子签名和数字认证的工具),售价在18~60元之间不等,民生银行、徽商银行等推出了向用户免费赠送U盾的活动。
按照木马卖家的说法,原先许多网上银行都需要连接指定的网关或者读取用户计算机上的数字证书才能使用,因此,黑客即便是获得了用户的密码也不能得逞。
但是他们最新研制的木马则能攻破数字证书的保护去盗取“肉鸡”用户的资金。
民生银行合肥分行零售银行部经理刘浩介绍说,再专业的网银都会有风险,虽然拥有硬件密码、网银密码、卡密码等三道防线,但U盾的使用并不能100%保证用户网银的安全,只是其遭攻击的可能性很小。
刘浩表示,目前各家网银都有大众版和专业版,后者安全系数较高,但都是通过网络传输数据的过程,黑客可以通过拦截数据,获得用户资料,然后通过复制卡号,直接到柜员机上取现的方式盗取用户资金。
石晓虹博士告诉记者,从360安全中心与黑客木马对抗的经验来看,目前确实已有木马能突破U盾来偷钱,但是数量非常少,成功率相对也很低,因此注定不会成为网络犯罪的主流。
事实上当前偷窃网银的木马犯罪集中在大众版网银中,而绝大多数使用U盾的网银用户被盗是由于自身缺乏安全意识,比如使用网银后不及时拔下U盾。
石晓虹说,U盾的安全性相对而言是很高的,之所以出现个别用户大笔钱财被盗的情况,还是用户自身安全意识不强,有些U盾用户没有养成使用完U盾立刻从电脑上拔下的习惯,甚至因为一些利益诱惑而任由不法分子摆布,一旦不法分子得到受害用户的网银信息,便可以远程控制“肉鸡”电脑直接操作网银。
用户相当于被自己的坏习惯“出卖”了。
D“肉鸡”的五大症状
木马与病毒很大的区别在于隐蔽性高,它们会刻意地隐蔽自身,以免被用户察觉。
用户最有效的防范方式是定期使用专业反木马工具进行查杀。
如果中了木马,用户的电脑往往会出现一些反常的“症状”,用户此时要特别小心,专家认为,目前常见的“症状”有五个方面。
首先是网速突然变慢,硬盘灯在闪烁,就像在拷贝文件一样。
这种情况很可能是黑客在尝试拷贝“肉鸡”的文件。
此时,就应该毫不犹豫地拔掉网线,立即检查电脑系统的进程;
二是摄像头莫名其妙自动打开,或准备使用摄像头时系统提示“该设备正在使用中”;
三是电脑桌面自行弹出网页窗口,往往是中奖、特价等诱惑信息,这是不法分子利用木马诱使用户从钓鱼网页登录网银;
四是没有使用网络时网卡灯不停闪烁,用360安全卫士等“高级”功能查看“网络连接状态”,有可疑进程正在活动的网络连接;
五是鼠标移动明显不受自己控制。
专家建议,对网银用户来说,除了防范木马的侵袭之外,进行网银相关操作一定要辨别网页的真伪,绝对避免从他人发来的网址中直接登录网银,对各网站中的支付链接也要查看浏览器的地址栏是否与网银的正当网址相符。
E五大措施应对风险
专家认为,网银安全不仅需要相关部门严格监管,用户也应该意识到风险的存在,积极使用网络安全工具保护自己,网上交易的风险是完全可控的,并无需过度的恐慌、甚至放弃便利的互联网服务。
刘浩表示,用户要尽量使用专业版的网银,一定不要将数字证书文件直接存在电脑中,而是要存在U盘等移动介质中。
而对于那些U盾网银用户,在每次完成网银操作后,要尽快拔下U盾。
另外,用户在设定网上支付限额时,一定要根据自己实际使用情况而定,不可图省事而随意设定大额支付限额。
不要打开来路不明的程序或者补丁。
石晓虹则建议,网民安装安全防护软件,并定期打补丁和查杀,封堵住木马入侵的通道,以确保自己的电脑中没有木马。
石晓虹介绍,360保险箱目前提供了对15家主要网银的账号保护功能,其作用在于阻止木马程序注入到浏览器进程中,并阻止木马监控用户的软、硬键盘操作,这样就能保护用户在输入密码时不会被黑客劫持,可以在一个干净安全的系统环境中使用网银账户。
最后,网银用户还要及时、定期查验银行对账单,如发现问题及时举报,配合公安机关及时打击犯罪分子。
SSL加密被破解,千万站点面临危险
9人关注此资讯,我要关注(收藏)(?
)| 新闻投递夏哉发布于:
2011年09月22日(43评)
研究者最近发现了一个存在于TLS1.0(几乎应由于所有HTTPS加密网站的协议)的重大弱点。
利用这个漏洞,黑客将可以悄无声息的解密客户端和服务器端之间通过HTTPS传输的数据。
此攻击仅针对TLS1.0,目前使用最广泛的安全加密协议。
只要第三方能控制终端与服务器之间的链接即可利用此漏洞破解几乎所有网站的SSL加密。
诸如PayPal,GMail等大型网站也不例外。
甚至HSTS(强制安全协议),一种让用户直接访问安全服务器(而不是经过不安全的链接跳转)的协议,都不能阻止这种漏洞。
此安全隐患波及范围之广泛和危害程度之大让人震惊。
在本周即将在布宜诺斯艾利斯举行的黑客技术研讨会上,ThaiDuong和JulianoRizzo将展示一个利用此漏洞的方式。
称作BEAST的一个JS脚本,配合一个网络连接嗅探器即可在30分钟内解密一个PayPal的用户Cookie。
两人称目前还在继续优化脚本,争取将破解时间降低到10分钟。
Google针对BEAST为Chrome紧急发布了一个补丁,但此漏洞依然强力危害着众多的浏览器和个人。
“如果此技术果真能在10分钟解密HTTPS安全连接,那么我们确实面临了一个重大的危险”
若是GFW掌握了此技术,恐怕安全的HTTPS也不是许多站点的藏身之所了。
来自多个国家的研究人员在30日德国柏林举行的“混沌通信”会议上,宣布他们通过利用MD5加密算法漏洞攻破了SSL加密技术,成功搭建了一个伪造的证书授权中心(CA),其颁发的证书能够被所有要求SSL的网站接受。
由于SSL加密在网上银行等安全网络应用中使用相当广泛,因此这次概念式破解应当引起全球网络安全业界的高度警觉。
在MD5加密算法中,存在一个名为MD5“冲突”的漏洞,能够让两条不同的信息拥有同样的MD5码。
近年来,已经有研究表明,理论上可以利用该漏洞攻击数字签名认证系统。
而现在这组研究人员又通过实际操作证实,该漏洞确实可以被用来破解SSL加密,冲击整个互联网安全架构的基石。
破解的尝试共分为两步,其中的第一步运算量巨大,非常适合于运用分布式运算完成。
因此,研究者们在瑞士洛桑联邦理工大学搭建了一个“PlayStation实验室”,使用200台PS3游戏机,平均分配30GB内存进行运算,耗时18个小时完成。
而第二阶段运算量较小,并且不适合Cell处理器的SPU运算,因此使用了一台顶级四核心PC耗时3到10个小时完成。
在一个周末的时间内,研究者们共进行了三次尝试,制造MD5“冲突”的总运算量为2的51.x次方。
最终他们成功伪造了一个证书授权中心,可以随意签发SSL证书,突破各种SSL加密网站。
不过,大家也不必过于担心。
研究者们表示,要想复制此破解过程,至少还需要6个月的时间,因此距离黑客利用此法实现真正攻击还有相当遥远的距离。
----------转自驱动之家
网站加密又遭重创:
在美国举行的黑客大会上,一位独立的黑客演示了一种可以窃取敏感信息的工具,它能欺骗用户使其以为正在访问一个受加密保护的站点的时候,而实际上却是在访问未加密的网站。
本周三在华盛顿举行的黑帽子安全大会上,黑客演示了SSLstrip在公共无线网络、洋葱路由系统以及任何其他可以发动中间人攻击的地方的工作情况。
它能够将本应受到安全套接字层协议保护的页面转换成未加密的版本。
该攻击能够同时“忽悠”网站和用户,使他们以为他们一直都在使用加密保护。
继2007年的sidejacking攻击和2008年的CA证书伪造之后,在此次大会上又有黑客(MoxieMarlinspike)为人们演示了最新的SSL弱点,即网站用来防止密码、信用卡号以及其它的敏感信息在传输过程中被窃听的加密例程。
这使得人们对安全套接字层的安全问题忧心忡忡。
据观看过此演示的与会研究人员称,该攻击非常新颖,并且很酷。
更糟的是,在Moxie的演讲中,许多问题是这些年来已被讨论过的,这说明SSL的情况很不妙。
据Marlinspike称,SSLstrip之所以能够成功运行,是因为使用安全套接层协议层(ssl)的大多数网站通常首先为访问者提供一个未加密的页面,只有开始传输敏感信息部分时才开始提供加密保护。
举例来说,当一个用户点击一个登录页面时,该工具会修改网站未加密的响应,使“https”变成“http”。
然而,网站却一直以为连接是受加密保护的。
为了让用户相信他正在使用一个加密的连接跟预期的站点通信,SSLstrip利用了一些现成的诡计:
首先,此工具在局域网上使用了一个包含有效SSL证书的代理,使得浏览器会在地址栏显示一个“https”。
其次,它使用homographic技术创建一个长的URL,在地址中包含了一系列伪造的斜杠。
(为防止浏览器将这些字符转换成Punycode,他必须获得一个用于*的通配SSL数字证书)。
“可怕的是它看来像,”Marlinspike说,“问题在于http和https之间的桥接,而这是SSL在web中部署方式的基础部分”。
要想改变这些绝非易事。
”
Marlinspike已经成功将该攻击应用于使用Firefox和Safari浏览器的用户身上,虽然他还没有在IE上做实验,但是估计也不会有什么问题。
即使没有,他说,也有足够的理由相信即使安全谨慎的用户也不会将时间花在确保他们他们的会话被加密这些事情上。
为了证明他的论点,他在托管于Tor网络中的一个服务器上运行了SSLstrip,在一天时间内,他收集到了访问Yahoo、Gmail、Ticketmaster、PayPal和LinkedIn等站点的254个用户密码。
虽然SSLstrip没有使用代理功能欺骗他们使其以为他们正在访问一个安全的站点,但是还是有许多用户上当了。
令人担忧的是,即便地址栏中没有显示关键的“https”,这些Tor用户还是毫不犹豫的输入了他们的密码。
Marlinspike说,他马上就擦除了所有这些个人身份信息。
此次演示的攻击可能会引起诸如Mozilla、微软和VeriSign等公司的极大不安,尽管这些公司的工程师已经竭力使用各种方法来提高SSL的可靠性。
对于用户来说,最简单的防御措施就是在浏览器中输入完整的https地址,或者将它们存为一个书签,这样即使SSLstrip这样的工具也没有机会来修改网站的未加密的链接了。
此外,尽管我们过去曾经怀疑过extendedvalidationSSL的必要性,现在看来这是,它是保护用户不受SSLstrip的代理诡计欺骗的一种有效手段。
然而,即使EVSSL也无法保护那些每次登陆时都无暇顾及浏览器地址栏中的https的用户。
即使用户这样做了,但是还是有一些站点懒得在登录页面中使用https,所以对这些用户来说,实在是太危险了。
曾在2002演示了一个单独的https爆破工具SSLSniff的Marlinspike说,对于此漏洞还没有行之有效的修补方法,并且将来还会看到更多新型的利用方法。
根本的解决之道就是加密一切,他说。
针对SSL认证加密技术被攻破的消息,英国网络服务机构Netcraft又发现,互联网上14%的使用MD5算法进行加密的SSL认证都存在安全漏洞,足以引起黑客的浓厚兴趣。
其实早在2004年就有了针对MD5的第一次破解,并成功使用同一个数字签名制造了两条不同的消息。
2007年,破解技术更加高级,理论上已经能够让研究人员得到任何想要的两条消息。
Netcraft经过调查后发现,目前有13.5万个有效的第三方数字认证使用MD5算法,占互联网上所有认证的大约14%,这其中有12.8万个(95%)来自RapidSSL(Equifax),另外7000个来自Thawte和Verisign,不过Netcraft指出,后两家公司的大多数数字认证使用的都是SHA-1算法,而这种加密技术现在看起来还是安全的。
Verisign宣称已经停止为其RapidSSL认证使用MD5算法,并计划到本月底的时候在所有认证产品中放弃MD5,预计其他认证机构也会如此。
由于SHA-1算法非常成熟,且已经被大多数SSL认证签名所采用,所以过渡转移会非常简单顺利,针对MD5的攻击自然也就没有目标了。
(注:
Verisgn在2006年收购了RapidSSL)
微软最近通知其客户,已经知晓针对MD5算法X.509数字认证的成功攻击,但这并不会带来很明显的危险性,因为研究人员并没有公开背景资料,使得其他人无法重复进行攻击。
微软还强调说这并非是微软平台独有的漏洞,用户应当向相应的认证机构寻求帮助。
转载:
驱动之家
前两天刚刚发布的消息称:
SSL加密被破解,千万站点面临危险
实际上研究使用BEAST对SSL攻击的工作从今年5、6月份就展开了。
BEAST的两位研究人员也没在本周五正式发表前透露太多细节,不过Google显然不打算冒任何风险。
BEAST利用选择明文恢复(chosenplaintext-recovery)攻击SSL和TLS早期版本的AES加密,其中被称为加密块连锁(CBC,cypherblockchaining)的加密方式使用之前的加密块对下一个块进行加密。
Chrome的补丁通过将信息碎片化以减少攻击者对即将加密的明文的控制(已经在Chrome15.0.874.106正式版中发布)。
JulianoRizzo和ThaiDuong最近演示了使用BEAST对TLS/SSL的攻击,Mozilla安全博客表示在默认设置下Firefox不会受影响,但部分插件可能存在弱点。
Mozilla称,攻击需要完全控制连接发起的内容,而这是Firefox所不允许的,因此在默认设置下Firefox不会受到影响,但Java插件存在漏洞,Mozilla推荐用户禁用Java插件。
实际上,Rizzo和Duong的攻击演示利用的就是Javaapplet。
与此同时,微软发布一则安全警告,称WindowsXP、WindowsServer2003、WindowsVista、WindowsServer2008、WindowsServer2008R2和Windows7都受到SSL/TLS攻击影响,微软可能在每月例行安全更新中修复该问题。
这篇文章(
(1)必须对Https会话进行主动的中间人攻击,仅仅通过观察加密通信是不够的;
(2)用来解密SSL加密通信的代码必须能够注入到并且在浏览器进程中运行;
(3)攻击者的代码必须被浏览器认为是来自同一个Https的服务器,所以还需要通过另外的方法绕过浏览器的安全检测;
在Beast攻击的演示中,研究人员使用了JavaApplet才实现了解密Paypal的Cookie,单纯通过Flash或者Javascript中是很难实现的。
微软建议的解决方法是Web服务器更多的使用RC4加密代替被Beast攻击的CBC加密方法,另外加快部署更新的加密协议TLS1.1或者1.2也可以避免老式的SSL3.0/TLS1.0带来的安全问题,在Window7和Server2008R2中已经提供对TLS1.1的支持。
关于SSL,相信你一定听过,SSL也就是SecureSocketLayer,是一种在Web会话双方和客户间实现安全会话的通讯协议。
可以帮助会话双方建立信任关系,实现安全会话。
要做到这些还需要结合证书机制,所以会话双发首先要从CA申请数字证书,然后用数字证书中的公钥建立信任关系,再用密钥加密要传输的数据。
浏览器与WEB服务器之间再SSL的基础上建立应用层会话,通信协议为HTTPS。
由于使用HTTPS/SSL的会话双方是通过一个加密的安全通道进行数据传输,所以很容易给人一个错误的认识,就是在这种机制下一定是安全的,但事实是否定的。
原因很简单,因为理想的安全系统是不存在的,SSL同样不例外。
SSL安全漏洞主要体现在以下几个方面:
1.SSL服务缺陷
SSL是为网络通信提供安全保障的但其自身的安全却有可能不理想,而且对于SSL服务自身的安全缺陷是最致命的安全漏洞。
这一点也不好笑。
在流行的OpenSSL系统就有许多的安全漏洞,最典型的就是存在于各个版本的缓冲区溢出漏洞。
OpenSSL是一种开放源码的SSL实现,用来实现网络通信的高密度加密,现在被广泛地应用于各种网络应用程序中。
目前OpenSSL已经发现的严重安全漏洞主要有:
●OpenSSL服务器SSLV2握手进程缓冲区溢出漏洞。
●OpenSSL客户端SSLV3握手进程缓冲区溢出漏洞。
●使用Kerberos的OpenSSL服务器SSLV3握手进程缓冲区溢出漏洞。
●OpenSSL在64位平台下处理整数ASCLL字符存在缓冲区漏洞。
●OpenSSL的ASN.1库在处理畸形证书时存在编码错误容易引发拒绝服务攻击。
2002年9月以来,有许多利用OpenSSL安全漏洞的蠕虫,比如“Apache/mod_ssl”,“Slapper”,“bugtraq.c”蠕虫。
这些蠕虫的攻击对象是使用OpenSSL0.8.6d之前的SSL模块(mod_ssl)和在Linux上运行的Apache服务器,但仅限于SSLv2设置位有效的且硬件位Intelx86的设备。
蠕虫将以下请求发往连接在Internet上的TCP80端口,并搜索攻击对象的Apache服务器:
GET/mod_ssl:
error:
HTTP-requestHTTP/1.0
如果根据反应确认是Apache服务器,那么就会通过TCP443发送蠕虫的源代码.之后编辑送入的源代码,并在被攻击设备上执行。
让后被感染的设备上再寻找下一个目标。
在各台设备上运行的蠕虫通过UDP2002端口通信,并形成P2P网络。
使用这一网络,可以将特定的数据保包一齐向特定目标发送,也就是说
升级会员 