第一篇:钓鱼网站问题的研究报告
浙 江 大 学 宁波理工学院
热点问题研究
课程名称 电子商务支付与结算 题 目 钓鱼网站问题的研究报告
专业班级 电子商务101
小 组 童华瑞小组 任课教师 禹银艳
2013年 4月 6日
目 录
一、摘要
二、引言
三、正文............................................................1
1.钓鱼网站的定义...............................................3 2.钓鱼网站的现状................................................4 3.网站钓鱼的常用方法............................................5 4.技术分析......................................................6 6.牟利模式.......................................................6 6.传播途径.......................................................7 7.影响危害.......................................................7 8.解决钓鱼网站诈骗的难处.........................................8 9.防范方法.......................................................9
四、结尾...........................................................10
五、成员...........................................................10
六、参考文献.......................................................11
一、摘要
目前“网络诈骗”已成为个人资金信息安全最大的隐患。据中国反钓鱼网站联盟中心统计,全球“钓鱼”案件自2005年始,正在以每年高于200%的速度增长,受骗用户高达5%。而随着国内网络购物的发展,不法分子也越来越盯上这块流着奶与蜜的福地。而在近日查到的钓鱼网站中,尤其以淘宝、支付宝、阿里巴巴等知名电子商务网站成为仿冒“重灾区”。越来越多的钓鱼案例发生在电子商务的各个环节,那些不同的伎俩不同的借口不同的许诺的背后都是黑色的诈骗计划。我们将从钓鱼网站的定义,钓鱼网站的手段及防范方法等多方面来阐述和分析这个问题。
关键词: 网络诈骗 钓鱼网站 定义 手段 防范方法
二、引言
1、研究背景:随着网络购物时代的井喷,钓鱼网站早已取代木马病毒成为网络安全最大的威胁。《2012年中国网站可信验证行业发展报告》(以下简称《报告》)显示,截至2012年6月底,31.8%有过网购经验的网民曾在网购过程中直接碰到钓鱼网站或诈骗性网站,网购遇骗网民的规模达6169万。
2、研究意义:能够让更多的人了解钓鱼网站是如何诈骗,避免更多的人上当受骗,同时保护了正规网站的诚信度,让大家不会因为钓鱼网站而对正规网站有排斥,更多的是无形中维护了网络的安全性,变相帮助了如今火热的电子商务。
三、正文
1.钓鱼网站的定义
钓鱼网站通常是指伪装成银行及电子商务等网站,主要危害是窃取用户提交的银行帐号、密码等私密信息。所谓“钓鱼网站”是一种网络欺诈行为,指不法分子利用各种手段,仿冒真实网站的URL地址以及页面内容,或者利用真实网站服务器程序上的漏洞在站点的某些网页中插入危险的HTML代码,以此来骗取用户银行或信用卡账号、密码等私人资料。
2.钓鱼网站的现状
(1)、总体情况
2013年2月份联盟共处理钓鱼网站1487个。截至2013年2月份,联盟累计认定并处理钓鱼网站106212个。
钓鱼网站月处理情况
以上皆是中国反钓鱼网站联盟(APAC)上的数据
(2)、本月钓鱼网站仿冒对象分布情况
本月联盟接到的钓鱼网站举报中,涉及淘宝网、建设银行、工商银行、中国银行、工商银行四家单位的钓鱼网站总量占全部举报量的82.64%。其中,仿冒淘宝网的钓鱼网站比例有所减少,处于钓鱼网站仿冒对象的第一位。
从中我们可以看出网络诈骗的形式依然很严峻,且主要还是集中在淘宝网,而淘宝网作为一个C2C的网络交易平台,这将严重危害网络支付的诚信度。
3、网络钓鱼常用方法
大多数的网络钓鱼方法使用某种形式的技术欺骗,旨在使用一个看起来正常合法的链接,实则该链接指向另一个非法的钓鱼网站。欺骗用户访问钓鱼网站,从而获取用户的信息。常见的欺骗链接有以下几种:
(1).使用IDN欺骗。攻击者注册一个和著名网站差不多的网址名,如:www.xiexiebang.comNIC)运行的国家最高目录数据库中的“可信网站”子数据库中,从而全面提升企业网站的诚信级别,网民可通过点击网站页面底部的“可信网站”标识确认网站的真实身份。网民在网络交易时应养成查看网站身份信息的使用习惯,企业也要安装第三方身份诚信标识,加强对消费者的保护。
(2)、核对网站域名
假冒网站一般和真实网站有细微区别,有疑问时要仔细辨别其不同之处,比如在域名方面,假冒网站通常将英文字母I被替换为数字1,CCTV被换成CCYV或者CCTV-VIP这样的仿造域名。
(3)、比较网站内容
假冒网站上的字体样式不一致,并且模糊不清。仿冒网站上没有链接,用户可点击栏目或图片中的各个链接看是否能打开。
(4)、查询网站备案
通过ICP备案可以查询网站的基本情况、网站拥有者的情况,对于没有合法备案的非经营性网站或没有取得ICP许可证的经营性网站,根据网站性质,将予以罚款,严重的关闭网站。
(5)、查看安全证书
目前大型的电子商务网站都应用了可信证书类产品,这类的网站网址都是“https”打头的,如果发现不是“https”开头,应谨慎对待。
昨日,据360安全中心统计,截至12月24日,我国钓鱼网站新增98万家,相比去年同期增长95.9%,其中有关网购类钓鱼网站达39.27万 家,占今年新增钓鱼网站总量的40.8%。而曾一度被认为危害最高的网购木马却日趋衰落,目前钓鱼网站已取代了木马成网络安全头号杀手。
业内人士表示,钓鱼网站数量的激增势头亟须相关部门尽快通过《网络信息保护的决定》议案。在目前网络安全问题日益严峻的情况下,国家相关部门正拟立法保护个人电子信息。
四、结尾
对于网络钓鱼的威胁,光使用杀毒软件及浏览器检测等反钓鱼技术是远远不够的,用户在进行在线支付操作或接收网络邮件时应该具有基本的防范意识,能够识别普遍的网络欺骗手段,在发觉被钓鱼欺骗后应及时采取冻结账户,报警等有效手段来降低自己的财产损失。
网络钓鱼之所以危害如此严重,关键在于它实施简单,获利可观,且发现后不易被抓获。希望各有关部门能够加大查获力度,有效打击网络钓鱼实施者。同时各大在线交易网站能够加强自身安全措施,保护用户的财产及隐私安全。
五、成员
组长:童华瑞
组员:徐佳东、徐钧科、屠宇驰、许易、徐林杰
五、参考文献
[1] 2013年2月钓鱼网站处理简报 [2] 百度文库
[3] 柯新生《网络支付与结算》电子工业出版社 [4]
CNNIC联手金融业成立中国反钓鱼网站联盟
第二篇:网络钓鱼研究报告
网络钓鱼研究报告
内容摘要: 网络钓鱼是现今网络欺诈的常用手段。本文主要展示了网络钓鱼的常见实施方法及反网络钓鱼技术的主要手段。
关键词:网络钓鱼,反钓鱼技术,云安全
一、浅谈网络购物
自从电子商务网站阿里巴巴的出现,近几年兴起了网络购物的狂潮。根据2010年中国网上购物消费者调查报告显示:2009年我国网上购物的市场规模达到2670亿元,网购人数约为1.3亿人。有75.1%的消费者认为网上购物总体满意度不低于网下购物,有58.1%的消费者认为网上购物的乐趣不低于逛街。有37.9%的消费者表示有购物需求时首先会想到去网上购物,有近三分之二的用户表示会在网下看好商品然后去网上买。只有两成的用户认同不会在网上购买单价超过200元的商品。如此看来,网络购物已逐渐成为时下一种主要的消费手段。
所谓网络购物,即指买方通过互联网检索并获取商品信息,继而发出订单请求,然后借由第三方支付工具或银行付款,最终卖方使用邮递或快递公司配送的方式将货物送到买家手上。这样一来,对于买家来说,只需要一台能够连接到互联网的电脑就可以足不出户、轻轻松松逛遍世界任何一个角落的“商店”。对于卖家而言,进行网上销售没有库存压力,经营成本较低,以此提高企业的效益。
伴随着网络购物的快速发展,带来的不只有正面影响,越来越多的网络犯罪出现,使用的手法也层出不穷,对于网络安全的要求也在不断的提高。不同于网络游戏,网上银行所使用的账号密码一旦被他人破解,将直接带来经济损失,且很难追回。网络钓鱼是其中主要的一种欺诈手段。
二、网络钓鱼基本概念及其攻击目标
什么是网络钓鱼?网络钓鱼指攻击者利用欺骗性的电子邮件和伪造的 Web 站点来进行网络诈骗活动,受骗者往往会泄露自己的私人资料,如信用卡号、银行卡账户、身份证号等内容。诈骗者通常会将自己伪装成网络银行、在线零售商和信用卡公司等可信的品牌,骗取用户的私人信息。从而利用这些信息非法盗取用户的财产,造成用户的经济损失。
网钓者的目标一般是针对银行和在线支付服务的客户。通过收集用户的银行账号及服务信息,发送假冒电子邮件,来获取用户资料。另外,社交网站也是网钓攻击的主要目标,因为在这些网站的个人数据明细可以用于身份盗窃:2006年年底一个电脑蠕虫接管MySpace上的网页,并修改链接以引导该网站的用户到设计好的网站上,窃取用户的登录信息。实验表明,针对社交网站的网钓成功率超过70%。
三、网络钓鱼的危险
据国内知名杀毒软件公司瑞星公司发表的《2010年第三季度网络钓鱼报告》指出:现在每天出现1万余个新钓鱼网站,其中95%是由机器自动生成,传统反钓鱼技术很难识别。除了传统意义上的钓鱼网站之外,网络诈骗与客户端软件结合、甚至与传统电话诈骗结合,成为新型诈骗的显著特点,比如“QQ刷钻”、“淘宝刷信用”等已经成为黑客赚钱常用的手法。中国反钓鱼网站联盟(APAC)秘书长齐麟日前表示,2010年新增钓鱼网站175万个,受害网民高达4411万人次,损失超过200亿元。金山网络最新发布的《2010年中国网络购物安全报告》则显示:有超过1亿用户曾遭遇过网络购物的陷阱,直接经济损失将突破150亿元。综合来看,支付交易等类型的诈骗网站,因为能直接盗取包括银行账户等用户信息、直接获利而最为常见。根据金山网盾数据中心的数据显示,2010年11月,每日新发现的钓鱼网站数量都在300个左右,其中80%的钓鱼网站都会被买家或者卖家点击,在被网购用户点击到的这240个钓鱼网站中有20%-30%的交易成功。
四、网络钓鱼常用方法
大多数的网络钓鱼方法使用某种形式的技术欺骗,旨在使用一个看起来正常合法的链接,实则该链接指向另一个非法的钓鱼网站。欺骗用户访问钓鱼网站,从而获取用户的信息。常见的欺骗链接有以下几种:
1.使用IDN欺骗。攻击者注册一个和著名网站差不多的网址名,如:www.xiexiebang.com和www.xiexiebang.com看起来非常类似,但实际上指向两个不同的地址(一个用了英文字母的“l”,另一使用了数字“1”),用户如果没有注意到这类链接地址,将会被引导至钓鱼网站,从而导致账号或私人信息的泄露。
2.使用“@”符号的欺骗链接。原本这是一种用来作为一种在地址上包括用户名密码来登录的方法,如ftp://sam:12345@nene.myftp.com:2121表示使用用户名sam,密码是1234,端口号为21(后两项省略则表示使用空密码并使用默认端口号)来访问nene.myftp.com这个ftp地址。同时该方法也可用在浏览网站中:http://www.xiexiebang.com@news.site1.com/这个地址会让用户误解为是打开www.xiexiebang.com上的一个页面,而实际上该方法则是会将用户引导到news.site1.com这个页面上,这种方法在大多数的浏览器中会被侦测出,从而禁用或者显示警告信息。
3.使用子网域欺骗。指使用二级域名或多级域名的方法欺骗用户。如www.xiexiebang.com这个链接看起来似乎会将用户带到google网站的子域news下面,而实际上该链接是将用户带到news网站的google这个子域下,从而进行欺骗活动。
4.链接描述欺骗。还有一种常见的伪造方法是让锚文件看起来合法,实际上却链接到钓鱼网站。即在网页上链接的描述内容上使用www.xiexiebang.com这类看似正常的地址,实际上当点击这个地址时跳转的目标是另一个网站。
5.使用图形链接。攻击者使用图像链接代替文字,使某些反网钓过滤器及用户难以侦测网钓链接的正确性。
一旦受害者访问钓鱼网站,一些网钓欺骗手法还将继续,如:
1.一些钓鱼网站使用JavaScript等脚本命令来改变地址栏,它们会放一个合法地址的地址栏图片盖住地址栏,或者以关闭原来的地址栏并重开一个新的合法URL来达成。用以欺骗用户让用户以为打开的网站是正常合法的网站。
2.某些技术高超的攻击者甚至会利用某些网站自己的脚本漏洞对付受害者,即跨网站脚本攻击(XSS攻击)。它们导引用户直接在他们自己的银行或服务的网页登录,在这里从网络地址到安全证书的一切似乎是正确而没有问题。而实际上,用户在其网页上的操作已经被攻击者获取了。
3.还有使用一种被称为万用中间人网钓包,它使用一个简单易用的界面让网钓者重制网站,并捕捉用户进入假网站的登录细节。
4.为了避免被反网钓技术扫描到和网钓技术相关的信息,网钓者们也开始利用Flash构建网站,由于将文字隐藏到了多媒体(Flash)对象当中,这类网钓网站很难被通常的反网钓技术侦测到。
五、常见反钓鱼技术
打击网钓比较流行及通用的做法是通过浏览器进行黑名单过滤,在浏览器中保存一份已知网钓网站的名单,该名单将实时更新。也有的软件将用户访问过的地址发送到中央服务器以供检查,但这种方法引起了个人隐私问题的关注。还有一类黑名单过滤是对于DNS服务的,使用一种特殊的DNS服务,筛选掉已知的网钓网域,这种做法的优点是任何的浏览器都能兼容,类似于在系统的host文件上将目标域名映射到本机或一个错误的IP地址来实现屏蔽某些网站。
同样各类杀毒软件及网络安全软件也不断的提升对钓鱼网站的侦测。早期杀毒软件通过用户上报钓鱼网址,人工判定该网址为钓鱼欺诈网页之后,将它加入到黑名单,发布到杀毒软件的升级包中。不过该方法有很大的局限性:首先人工收集数量有限,且大部分用户不会举报钓鱼网站。其次被拦截的钓鱼网站,能够很快切换到新网址继续欺诈,钓鱼网址的生存周期一般只有1-2周时间。黑名单里的网址失效率极高,拦截效果并不明显。
由于杀毒软件使用黑名单来对抗钓鱼网站的效果不佳,出现了类似对付病毒的方法来对付钓鱼网站:提取钓鱼网页的特征码,再用特征码扫描来判定网页是不是含有钓鱼欺诈内容。然后,将特征码定期升级到杀毒软件的识别库中。用户的杀毒软件升级后也能对含有类似特征码的钓鱼网站进行侦测。
由于近年来云安全技术的出现,某些杀毒软件将该技术运用到对钓鱼网站的识别体系。“云安全(Cloud Security)”是网络时代信息安全的最新体现,它融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念,通过网状的大量客户端对网络中软件行为的异常监测,获取互联网中木马、恶意程序的最新信息,传送到Server端进行自动分析和处理,再把病毒和木马的解决方案分发到每一个客户端。通俗的说就是一个新的病毒样本在加入云安全(云端)的任意一台计算机上被发现,都会被上传到云安全终端上进行鉴定。确定是病毒或木马等危害性程序后将被分发到每一台加入云安全的计算机上。
云安全对于钓鱼网站的截获也是类似:在云端自动收集可疑网址,完成对可疑钓鱼网站的自动鉴定。由于基于云安全的系统不需要客户端频繁更新,只要客户端能上网,就立即获得最新的钓鱼网址列表。从而防止钓鱼网站攻击。实践证明,云安全是目前拦截钓鱼网站的最佳手段。据2011年3月11日的瑞星“云安全”系统统计,一周共截获了钓鱼网站的841292个。
六、结尾
对于网络钓鱼的威胁,光使用杀毒软件及浏览器检测等反钓鱼技术是远远不够的,用户在进行在线支付操作或接收网络邮件时应该具有基本的防范意识,能够识别普遍的网络欺骗手段,在发觉被钓鱼欺骗后应及时采取冻结账户,报警等有效手段来降低自己的财产损失。
网络钓鱼之所以危害如此严重,关键在于它实施简单,获利可观,且发现后不易被抓获。希望各有关部门能够加大查获力度,有效打击网络钓鱼实施者。同时各大在线交易网站能够加强自身安全措施,保护用户的财产及隐私安全。
姓名:陈文杰
专业:计算机科学与技术 学号:09642301003
第三篇:淘宝网站研究报告
篇一:淘宝网站分析报告 关于淘宝店铺的分析
随着人们生活水平的提高,人们越来越喜欢追求高品质的生活。特别是现代的女性,他们在追求高品质的生活中,往往把装饰作为自己最重要的一部分,例如衣服,化妆品等等。因此衣服、化妆品店铺有着很大的发展空间。我这次做的淘宝店铺的分析是关于化妆品店铺的分析,想通过分析一些优秀的化妆品店铺来了解这些店铺是用怎样的方法来运营店铺,并吸引大量客户的。
乔莎旗舰化妆品店、shv-yog 舒友阁、菲诗蔓化妆品专营店三个化妆品网店是我分析的主要内容。其中沈阳菲诗蔓商贸有限公司的菲诗蔓化妆品专营店是在沈阳有实体的淘宝网店,可以进实体店进行购买了解考查其与淘宝网店中的产品描述。
一:乔莎旗舰化妆品店
乔莎旗舰化妆品网店是众多化妆品网店中的佼佼者,具有很强的竞争力和拥有很大的用户访问量。
1:关键字。
乔莎旗舰化妆品店,它的名字非常独特,在各大搜索引擎搜索中,输入乔莎出现的网络链接内容基本上都是乔莎旗舰化妆品店的链接,具有很强的独特性。所以乔莎这个关键词对乔莎旗舰化妆品网店的发展非常有优势,是一种无形的资产。图一:乔莎关键字链接2:首页设计。
进入淘宝乔莎旗舰化妆品专卖店首先进入眼中的是一种非常吸引人的首页布局。它温馨人性化的首页设计能够深深地吸引客户浏览以致购买其产品。它的question问题标栏的设计拉近了商家与顾客的关系,能够引起顾客的兴趣,使顾客不由自主的点击自己遇到的问题来参与互动。而且乔莎旗舰针对顾客遇到的不同问题,都请一些美容专家做了精心的指导设计,引导顾客选择正确的化妆品类型。图二:乔莎旗舰化妆品首页 3:新产品展示。
页面中新产品促销设计非常新颖,它把新产品促销信息放在首页非常重要的位置,而且图片较大,图片信息链接较方便。4:商店信誉度。
乔莎旗舰化妆品店的信用等级非常高,它较好的信誉度是保证它获得成功的关键。在网络交易中,人们都是在虚拟的环境中进行交易,相互之间的信任度是非常低,但是一个个人或者商家只有把信誉度放在第一位才能成功,才能获得优势。我认为乔莎旗舰化妆品店做到了。图三:乔莎旗舰化妆品信用等级 5:优质的交流服务平台。
当我浏览到乔莎旗舰店的交流区时,看到好几页的帖子,而且所有的帖子后面都标注这掌柜回复。我怀着好奇的心情查看了几篇帖子,当我读者用户和掌柜的帖子对话时,我感觉到这不是顾客与商家的交流了,这就是朋友与朋友之间的交流。顾客已经没有把掌柜当做一个单纯的卖东西的商家,而且掌柜也没有把顾客当做单纯的买东西的用户。他们之间交流的感情像是朋友之间的友情一样。如果一个商家把它和客户之间的感情处理到这个位置,我相信它肯定会成功的。
二:shv-yog 舒友阁 舒友阁于2005年创立,创立至今,已经拥有超过500万的体验人群,积累了良好的市场口碑,在淘宝网十分畅销,深受网友喜爱,历经七年,舒友阁凭借其准确地定位、专业的品质和优秀的团队研发出一系列功效卓越、生态安全的原生态保护品,形成舒友阁独特的清新高雅的文化内涵和卓越品质。1:强大的折扣优惠。
进入舒友阁首页页面,首先引入眼帘的是一系列折扣优惠的商品信息,我认为它靠得是商铺的声誉来吸引客户,然后用一系列折扣信息来打动消费者购买的欲望。图四:舒友阁促销信息
2:美容导航模块的设立。
美容导航模块给广大的舒友阁客户提供了方便。由于舒友阁是个比较大地淘宝化妆品商铺,它有上千中的化妆品产品,当顾客光临舒友阁网店时,他们不可能一个图片一个图片的来搜索他们需要的产品,舒友阁根据广大搜索引擎的模式,设立的导航模块模式,为广大用户提供了方便。
图五:美容导航模块 3:活动专区
每个客户有一种获利的成就感,当你能让他稍微在心里上有一种获利感时,他就可能对你这个商铺,这个产品感兴趣。他就可能购买你这个产品。如果一个商铺能够提供一些优惠折扣的信息,能够很大程度上增加商铺的访问量和商铺的成交量。图六:活动专区 4:宝贝分类
舒友阁页面有较好的宝贝分类,例如按皮肤流程分类,按功效类型分类,按护理类型分类,按肤质类型分类等。他对产品进行了叫好的细分。
图七:宝贝分类篇二:淘宝网调研报告 淘宝网调研报告
一、淘宝网 的现状分析
1、淘宝目前在电子商务市场面临的竞争情况
淘宝降低了开店的门槛,放宽了加入消保的政策,又开发了旺铺功能,实施了淘宝客政策,加之产品供应商推广的零付款产品代理制度,致使一时间淘宝小店如雨后春笋急速递增,搜索同一种商品关键字的结果往往是几千几万条,估计除了军火,毒品和人口在淘宝上没有交易外,其它很难找出淘宝上不出售的东西了。然而与此同时,淘宝买家却未必与卖家成比例增长,究其原因,可能基于以下几点: 一是随着电子商务的普及,各大门户口网站(腾讯、百度等等)均开通了自己的网络交易平台,并不断发展壮大,与淘宝分庭竞争。二是专业性的网络交易网站不断成熟完善(礼品网、太平洋女性网等等),其专业性的知识介绍、在线问答、产品宣传等,对买家形成强烈的吸引,一定程度上分流了网络买家。三是越来越的商品生产厂家自己建立销售网站,在网络上直销本厂产品,其独特的价格优势,宣传优势,售后保障也必将吸引买家的光顾。
2、淘宝针对电子商务竞争目前采取的策略
相信淘宝肯定也意识到电子商务竞争的激烈性,为了保住淘宝网络交易老大的地位,也在不断改进营销策略,不断推出新政策,新措施。
一是实行淘宝客制度。这可谓是中国甚至国际电子商务推广策略的一大创举,它以最小的代价,换来了超高的人气宣传。
二是不断改进开发网站新功能,旺铺功能,满就送功能,在线游戏交流功能,论坛也在不断改进,使网站除了商品交易功能外,开发其它的功能吸引更多的网民光顾淘宝,从而提高成交概率。
3、淘宝在营销策略与手段上存在的问题
(1)关于网站的宣传推广
作为阿里巴巴的旗下网站,相信目前网民几乎没有人不知道淘宝的,但如何让现在的淘宝仍然像以前那样在个人网络购物平台上独领风骚,却急需加大网站的宣传推广制度,前面提到目前推行的淘宝客制度是一个非常好的策略,但在实施的细节上却不尽人意,如何让更多的非淘宝会员加到淘宝客,让现有的淘宝客以更大的精力宣传淘宝店和商品都需要进一步改进。
(2)关于网站功能的开发完善
网站需要改进,需要增加功能,但过分的改进就叫激进了,短短一段时间,淘宝社区已经改得面全非,又是空间,又是淘江湖,找个自己曾经发的贴子都不知从何下手,要开好多窗口才能找到,帮派发贴还必须先加入帮派,并且要求只能加15个帮派,很麻烦。
(3)淘宝产品的分类与搜索关键词需要进一步改进
尽可能让更多的买家简便的搜索到所要购买的产品,试想一下,随便搜索一个或两个商品关键词,出来上万甚至几万个商品,你让买家怎么逐一挑,可能挑烦了就不在淘宝买了,同一种商品,同样的图片,同样的说明,价格却各不相同,这难道在一定程度上不会降低买家对淘宝的诚信度吗?
二、淘宝网的优势
1、准确的市场定位
淘宝的客户目标定位自创业初期就定位在中低端。由《2009年中国网络购物调研究报告》可以看出淘宝网以中低端定位击败了ebay 易趣中高端的市场定位而成为中国本土电子商务的领军企业。淘宝的买家主要以5000元以下的中低收入者为主。
2、便捷的支付方式
阿里巴巴旗下综合型第三方支付企业-----支付宝占据了 47.1%的市场份 额。其交易额规模达到了1392 亿元。首先,用户规模基数大是其实现快速增长的基本保证,;其次,市场份额持续扩大。从各个细分市场份额的排名来看,支付宝都名列前茅。再次,在使用网上银行完成支付缴费的用户中,有 54.8%的用户是通过第三方支付平台接入的,这体现了第三方支付对银行的重要作用。各银行与第三方支付的合作中,招商和邮政储蓄银行合作密切,国有四大银行需加强合作。所以更为支付宝提供了良好的商业契机.使其处于领先地位。
3、无形资产优势
优秀的品牌形象、良好的商业信用、积极进取的公司文化。淘宝网作为世界最大的电子商务公司的子公司,其形象和影响力远远高于其他公司,特别是在中华民族企业将受到极大的关注。淘宝网这一品牌也是极其重要的,“淘宝”已经成为人们的口头语,便于口碑营销和记忆。马云的形象在中国青年人的心中也是无可替代的。在国际上,马云先生也是apec的重要成员、中方常驻代表、主席。阿里巴巴集团奉行的理念和企业文化也是其他企业所不可比拟的。
三、淘宝网的劣势
1、个人信用评价存在缺陷
首先,伪造信用。有些卖家会召集亲戚朋友在其店铺中购买商品,表面上达成交易,来获得好评进一步达到很高的信用。但卖家不会发货并把钱退还给他们,这种“刷信用”的方式在新手卖家中尤其多见。其次,协商评价。当卖家出现了“中评”或“差评”之后,买家很可能会在卖家的软硬兼施的情况下(退货补偿、骚扰威胁等)被迫改成好评,在这种情况下的好评反应的显然不是卖家的真实信用。然后,恶意评价。恶意评价一般只是针对卖家,产生的原因有很多种,如恶意买家、对手的不正当竞争等。虽然淘宝给予了卖家申诉的权力,但由于申诉过程复杂且时间过长很多卖家都采取妥协的态度来息事宁人。
淘宝个人信用评价规则没有明确给出评价买卖双方的标准,因此使用者只能凭自己的经验和感觉来进行评价,这样就造成了评价主观性太强,无理可依。因此,很难给其他欲购买者很好的参考价值。
其次,评价的算法过于简单。第一,算法中没有考虑到交易金额的问题,目前淘宝的评价都是以交易笔数为单位来加的。一万块钱交易还是一块钱的交易得到的评价机会都是一样的,而且它们的评价效用也是一样的。这样将不能真实反应商家的真实信用。第二,算法中没有考虑时间因素问题,淘宝的评价即使几年前的评价也累加到商家的评价当中,但是这样的评价和现在的评价的效用肯定是不能比的。这就导致了前期商家对信用很重视累计到了很高的评价,后面的评价对其信用的等级几乎没有影响了,可能致使商家对自己的产品和服务的质量产生懈怠。
2、缺少退货情况的处理。
“淘宝网”网上交易流程中未涉及对于退货情况的特殊处理,而退货情况是极为常见的。现在“淘宝网”交易流程中若买方对于商品不满意或有其他原因,买方需在“支付宝”要求的期限内申请“退款”,退款处理周期也较长。此外,若买方未在此期限内申请,那么“支付宝”将直接将货款汇至卖方账户,买方将无法追回此次交易的货款。
3、缺少对卖方的约束。
在交易流程中缺少对卖方的约束,卖方在网上发布的商品信息很有可能是其没有或缺货的商品,因此买方下了订单后,卖方才提示买方说自己缺货,造成此次交易失败。这种对卖方约束的缺少,必然在一定程度下降低了“淘宝网”向买方提供服务的质量。
4、第三方支付平台无法处理交易纠纷且信用等级低,存在一定的金融风险。
“支付宝”在交易中只起到中介的作用,对于买卖双方的交易纠纷,“支付宝”或“淘宝网”都无法处理。“支付宝”等第三方支付平台的信用等级仅为一般的商业信用,较之于银行而言,其信用等级是较低的,其抵御各类风险的能力也相对较弱。因此,一旦“支付宝”在运作过程中出现问题,“淘宝网”网上交易流程即不可用。此外,买卖双方把资金暂存于“支付宝”上,“支付宝”有挪用资金的可能性,这在一定程度上降低了“淘宝网”交易流程的安全性。
四、淘宝网需进行改进的建议:
1、消费者增强个人信息安全防范意识
通过实施防火墙技术、加密技术、认证技术、防病毒软件即时升级来保障交易的安全,同时对专业提供网上支付服务和第三方平台作用的企业应有足够的认知。在产品的问题上,当权益受到侵害后,要学会利用法律武器以保证自身的合法权益。
2、加强对电子支付平台的管理
金融监管部门和央行应加强对电子支付平台的监督管理和检查力度,此外要对第三方支付的账户进行条理规范,要求第三方不得随意挪用占用中转帐户资金,不得进行风险性盈利投资甚至投机,要求第三方在开户行存入保证金,一旦出现问题,银行可以抵御风险。
3、完善法律体系
加强信用教育信用法律是网络信用机制运行的有效保障。只有做到有法可依、有法必依,才能有效地维护交易秩序和参与者的利益,惩罚那些利用信用机制漏洞来赚取利润的人。我们必须建立信用法律体系,才能确保网络购物乃至整个社会和市场经济的秩序。同时,应重视相关法律法规的制定与出台,维护网络购物的发展。在全民中普及信用意识,提高人们的信用素质,才有可能从根本上解决信用缺失的问题。同时,应进一步扩大对信用专业人才的培养,弥补我国巨大的信用人才缺口,加快国家信用体系的建设和发展。
4、加强网上身份认证的管理
身份认证是信用管理中不可缺少的一个环节。在网络购物中,由于网络的虚拟性,身份认证更是不容小觑。任何网络交易平台都应该对买卖双方进行身份认证。从网上对交易对象进行严格的身份认证管理,既有利于维护整个网上交易秩序,也有利于约束交易对象,使其在关心自身利益的同时培养良好的诚信意识与习惯。可以采取由国家权威机构进行第三方身份认证和信用认证,这样既可以发挥身份认证的作用,又可以避免 隐私被泄露或用于商业用途。
5、利用科学的方法,建立统一的信用评价体系
完善信用评价指标体系。用户在对其交易对象作出信用评价时,总是倾向于对交易过程中对方的表现作出评价。而现有的评价标准过于简单,无法对用户作出正确引导,可能会使得评价中掺杂一些无关因素。因而有必要对指标体系进行横向与纵向的拓展,并用文字、数字等对各指标的等级进行定义,描述它们之间的差别,从而尽量减少评价的主观性,提高其合理性。篇三:淘宝购物平台研究报告 淘宝购物平台研究报告
淘宝网提倡诚信、活跃、快速的网络交易文化,坚持“宝可不淘,信不能弃。”在为淘宝会员打造更安全高效的网络交易平台的同时,淘宝网也全力营造和倡导互帮互助、轻松活泼的家庭式氛围。每位在淘宝网进行交易的人,不但交易更迅速高效,而且交到更多朋友。2005年10月,淘宝网宣布:在未来5年,为社会创造100万工作的机会,帮助更多网民在淘宝网上就业,甚至于创业。直到了2007年,淘宝网已经为社会创造超过20万的直接就业的岗位。特别是2008年的金融危机之下,通过淘宝网进行的消费,无论从数量还是金额却都在逆势而升。阿里巴巴的成长与导购网站爆发性增长前夜:导购网站早在2004年就已经出现,但09年出现爆发性的增长,究其原因主要是阿里巴巴的人肉营销模式导致。淘宝已经是c2c业界的大佬,这个毫无怀疑,而由此滋生出来的中间行业--导购。淘宝瞄准了代推广这一市场,在成立了阿里巴巴之后,大力施行淘宝的淘客计划。淘宝网与导购网站的合作可以说标志着马云又带起了一个行业。
一、购物流程描述:第一步:登陆淘宝网,寻找自己喜欢的以及自己需要的商品,如风衣。第二步:选择商品的颜色、尺码,数量等,点击立即购买,正确填写你的收货地址、收货人、联系电话,以及补充玩你的个人信息,点击“确认无误”
第三步:选择支付宝余额支付,输入支付宝支付密码,点击“确认无误”后付款。第四步:支付宝账户余额付款成功,点击查看本笔交易详情。
第五步:卖家发货后,买家注意查收货物,收到货物后,点击“确认收货“,付款给卖家。
第六步:输入支付账户宝支付密码,点击“同意付款:给卖家。第七步:成功付款给卖家。第八步:给对方评价。第九步:评价成功。
二、开网店的步骤: 第一步:1、进入淘宝网的首页,点左上角“免费注册”。新页面打开后输入你想要的用户名,输入两遍密码,输入图片中的验证码,点击“同意协议并注册”。
2、验证账户信息。请确保你拥有一个手机并能正常接收手机短信。根据提示输入手机号码,中国大陆用户请保留“+86”这样的前缀,因为“86”是中国大陆的国际长途区号,点击“提交”。如果原来已经在淘宝网买过东西,不用重复注册。在淘宝网,一个账户可以同时是买家和卖家两个身份。
第二步:申请支付宝实名认证
1.、点击“我的淘宝”后,你可以看到“卖宝贝请先实名认证”的提示。
要开店必须要通过淘宝的支付宝实名认证,就是让你的支付宝和店铺和你的身份挂钩,让你的店铺和支付
宝有名有份。
2、注册支付宝账号
在你注册淘宝会员时淘宝会自动送你一个支付宝账号,注册淘宝成功的页面右下角,系统会提供您一个绑
定的支付宝账户,账户名即您注册淘宝时的邮箱地址(你也可以自己绑定一个自己的邮箱作为支付宝账号)。
3、申请支付宝实名认证 第一步:进入“卖家中心”,点击“我要开店”或“免费开店”,在“开店认证”处点击“开始认证。
第二步:点击“开通支付宝个人实名认证”。第三步:确认您自己是否已经满18周岁,并同意《支付宝实名认证服务协议》。第四步:个人实名认证有两种认证方式; 方式一:在线开通支付宝卡通。(我们以方式一为例)方式二:通过确认银行汇款金额来进行认证。第五步:选择一家您已经开户的银行;(我们以招商银行为例)第六步:输入您真实姓名和身份证号码;
提醒:输入的姓名和身份证号码需和您的银行卡的登记信息一致。第七步:进入对应银行的网站进行操作;
提醒:不同银行的页面显示会有区别,请您届时注意区分,仔细填写。第八步:回到“我的淘宝”,刷新页面,实名认证就成功了。
三、特色服务
第三步:淘宝开店考试
第四篇:建立网站 问题汇总
拉风:新手如何快速上手做网站
时间:2010-04-26 12:50
记得笔者刚开始做网站的时候,是从垃圾站入手的。也就是一些娱乐站,电影站、两性站之类的,为什么说是垃圾站呢?因为网站挂的是一些垃圾广告,弹窗,浮窗广告,这些广告严重影响了用户体验,而垃圾站的最大特点就是流量来的特别疯。笔者觉得垃圾站特别适合新手站长,因为容易上手,比较有成就感。有成就感了,工作就有效率,在这里建议一些新手,做网站应从垃圾站做起。所谓万丈高楼平地起。不要一开始就操作论坛,行业站。新手往往很难入手,大多会以放弃靠终。那么新手到底如何入手做网站呢:
网站的定位:这一点很重要,决定着你网站发展的前景。笔者觉得网站的定位结合个人爱好和特长做选择比较好,打个比方说,你是学计算机专业的,你还是个学生,做一个电脑方面的站或者论坛就比较适合你。如果你个人没有任何特长,可以考虑做自己的博客或淘宝客。
取个好域名:做到便于用户记忆,比如说go7go.cn这个域名,代表着一起去的意思,这也比较好记。做本地论坛的话,可以考虑取本地的区号。做公司站的可以取公司的“拼音”或者简写,再者英文跟数字相结合,如467cc.cn,这样用户很容易就把它记忆起来。总之一句话,域名选取越简单越好。
程序的选择:可能有些新手刚接触做网站的时候,会以为做成一个网站是多么了不起的事情,其实这是错误的想法,也许是2005的时候是,现在已经不是了。现在的站长很多不懂技术,只懂运营。新手如果只做一些文章、信息类的,可以用老Y文章,或者用DEDECMS。前面较容易一些,后面适合有点技术的新手。
空间的选购:要抓住两个重点,一,稳定。二,高速。现在很多站长慢慢把网站搬回国内了,所以新手在选购空间的时候首选国内空间为宜。要购买前要进行测试,前面我已经说过了,就不多说了。如果新手找不到好的空间,可以联系我,QQ:827595264。
最后,我想给新手说几句话:
1、千万别在QQ群发广告,直接带网址。
2、刚开始不是用论坛群发、博客工具群发,做好内容为佳。
3、外部链接不要做得太频繁,否则会出现链接过剩,百度十一位,降权现象。
4、不要天天盯着网站统计,流量统计,新站在初期流量是十分不稳定的,流量的大起大落,会直接影响着你做站的心态,新站着重做好用户体验。
5、不要抱着一下子就想赚大钱的心态,这样你永远赚不了钱。建议新手脚踏实地,学会循序渐进,给自己制订一个计划表,每天更新多少量,做多少外链,从小目标到目标,不用三五年时间,你将是一个成功的站长!建网站的步骤——九月教你最简单的建站
时间:2010-04-26 17:07 九月在网上赚钱-九月博客里做教大家赚钱的经验,主要从网盘赚钱(网盘赚钱日赚20美元)、淘宝客(淘宝客网站月赚1000)、博客赚钱等这几个方面。对于啥冲浪赚钱,点击广告赚钱,挂机赚钱,九月一概没有兴趣,也不会去推广。现在如果你做网上赚钱,却还没有一个网站,那么是绝对说不过去的。点击赚钱、挂机赚钱、威客赚钱这些赚钱方式,都不再长久,而且收获都很少,并且绝对不是主流。当然,如果你能从非主流中找到相当的利益也是不错的。
九月之前分享的淘宝客单页面做法等等都是需要建站的,但是现在网络上的新人太多不会建站,找人建站还会给人骗。因此,九月在这里介绍一下最简单的建站步骤、方法等等,希望能帮助到想通过自己建站解决问题的朋友。
最简单的建站首先得先从建站的基本需求开始:
一。建站之前,你一定要明白你要建什么网站。必须想好的是,你的网站标题(关键字)、你的网站描述,你大概想要网站的样子。
二。得先有一个空间,网站是放在一个空间里的。这里的空间,可以指网络服务器,可以是新网、万网有卖的虚拟服务器等等。对国外有兴趣的可以看看(DramHost主机购买教程)
三。空间有了,那么要选择一个建造网站的程序。这里九月推荐一个最简单的建站程序:wordpress,同时,也是最好用,全球使用的最多的建站程序。
四。建站程序选择完,需要把这个程序上传到空间,一般使用的方法是FTP上传方式。具体操作步骤,稍后讲。
五。上传完程序,建站完毕(程序自动安装也就1.2秒完成)。那么你要建造什么样的站呢?这可是你之前就要事先想好的。根据你的建站内容,选择合适的模板。
什么是模板?空间相当于房子,建站程序相当于选择的装修团队,而模板就是你要装修的样子、格局,而网站内容就是你在这个房子里面放置的东西,这样讲清楚了吧?
六。一切完成,最后稍微优化一下网站,让他更加符合SEO。
七。更新你的网站。
今天只是讲讲,最简单的建站流程和思路,下一次九月将就各个细节展开说明。
网上赚钱-九月博客 原创文章,转载请注明来源并保留原文链接。
注册域名要注意的五个基本原则
时间:2010-04-25 19:31 那些可供注册的域名----更不用说那些好的域名----正在不断减少,下面是你注册域名时需要注意的五个基本原则。尽量遵循下列的几项原则,你网站的流量就有机会立刻增加----人们把它们称之为“5个S”:
1.匹配(Suitable);
2.易记(Sensible);
3.后缀(Suffix);
4.简短(Short);
5.语法(Syntax).匹配:
首先,选择一个想对应的名字,就是与自己公司或品牌名称相同的域名,让人一下就能找到你,能够表明你公司或品牌名称的域名,不仅容易记忆,而且也更可信。它是真正体现域名所有人独创性、显著性、识别性的部分,是域名的核心。纽约域名咨询公司INTERBRAND的专家PARKIN就认为独创性是域名最有价值的特征。中外企业的成功实践表明,不论哪类企业,最佳做法都是要实现企业名称(商号)、商标、域名的统一与整合,以构成完整的企业识别系统(CIS)。例如,美国微软(microsoft)公司的商号、商标与域名的识别性部分均为microsoft,三者良性互动,识别力极强。任何一个人想访问海尔 tcl 长虹网站,必定输入haier.com tcl.com changhong.com;从基本上讲, 拥有自己公司或品牌域名,你的域名本身要能吸引更多浏览量。当你和一个没有自己公司或品牌域名的同类产品竞争时,它自然会传达一种信息,你的网站和它们的不同, 你是正宗可信的,甚至在他们登陆你的网站之前,你的域名就能够给他们这种感觉。
易记:
第二,对于中国人来说,你的域名应该选择拼音或易记的英文词语,这是你在选择域名时的首要原则。设想一下,应当尽量让他们很容易的去记住,而不是让人们很容易记错你的域名。
例如:避免分字符(像hai-er.com, www.xiexiebang.com/.net(当中有部分历史原因,企业较普遍使用com.cn或话是觉得跟com的联系更密切点,组合更稳重。对于一个具有全球战略眼光的企业家来说,通用顶级域名当然是首选,除非企业钟情的通用顶级域名已被注册,且索价过高。使用通用顶级域名不仅显得大气简洁,而且可彰显企业的全球化理念。
简短:
另一方面,域名越短越好。例如,以下两种域名Tencent.com和jz059.com,jz059.com,哪一种更容易记住,而在你敲入键盘的时候更不容易出错?显然是后一种。
语法:
第五个原则是让你的域名合乎语法。千万不要半土半洋,就像chinabaoxian.com woloveni.com这样的.从本质上说,设法让人们比较容易的登陆你的网站,方式越简单,登陆的人就越多,你的网站就越有价值----即使没有做任何广告。仔细考虑一下,以一个你的网站的访问者的角度去想,他们会选择什么样的关键词去搜索你的网站。你考虑的越周全,你的浏览量就越高。所有的事实证明你的域名是建立你的品牌和开拓市场的重要机会和基本手段。明智的使用它,你的网站将会赢得更多的浏览量,最终也就意味着将赢得更多的潜在的商机。
网站如何防止黑客的几个技巧总结
来源:站长防黑网 时间:2010-04-24 06:00
写在前面的话:大家不要把那些挂黑页挂马的“黑客”想得太厉害了,厉害的是不屑于这些的。这一句话就够了。
现在的黑客网站可谓是多如牛毛,不管在哪里只要你愿意学,都可以学到一招半式。看过别人的个性签名:卖菜的王大妈是黑客,烤红薯的李大爷也是黑客,对面成人用品店的老板,挖日,还是黑客-_-~!...黑客还真多啊!!据不完全统计,每天都有至少成千上万的网站被入侵篡改。有次在某群里聊天,一个高中生为了找到一个邂逅的女生的资料,入侵当地的民政局的内网服务器查看信息。nb吧。过程估计是相当的精彩。正所谓只要有电脑的地方,就会有江湖。被黑总是有理由的„„欢迎大家到站长防黑网来交流。
网站如何防黑?
我们从做站开始讲起。首先选好服务器这个是很重要的。因为即使你的网站程序再安全,服务器被攻破了,你的网站就沦为玩物了。也许在朋友们的眼里有个想法是安全的服务器会更贵吧。其实不然,资金的投入只能说是软硬件的加强,让网速或者负荷能力有所提高。但服务器的安全是可以人为配置的,只要网管的设置恰当,就能让服务器安全很多。在以前的一些实践当中发现很多政府学校的设置得都比较欠佳。仿佛是架上了iis只要能浏览网站就算完工。以前听一个朋友说政府学校的网站,只要拿到一个webshell,基本上服务器就可以拿下了。这句话可以说明个现象,很多学校政府的网站管理员明显不够重视网站安全。虽然你网站只是发布点新闻文章而已,但是被攻击者入侵,那他的目标就不一定是单纯的网站了,而是架起了一座通往内网服务器的一座桥梁。再来谈谈我们个人网站。个人网站由于资金方面的考虑,也基本上都是托管在虚拟服务器上的比较多。服务器的安全我们个人站长也做不了什么工作,所以选择一个好点,安全的空间是很有必要的。同样是虚拟主机,我遇到过的还是有比较安全的。杜绝了一些常见因为的目录权限配置不当泄露信息的安全隐患。至少不会被那些乱挂黑页的“黑客”随便鼓捣。如果大家再选择服务器的时候需要帮忙的话,欢迎给我邮件admin@zzfhw.com。我会免费为大家友情提供帮助的,并提供参考意见。关于服务器的安全配置,我们后面再写详细的文章。
再来谈做网站的过程。再此之前我们来了解下一些常用的攻击手段。
1.危险性的上传漏洞
这个也要分三类:
一类是上传的地方无任何身份验证,而且可以直接上传木马。
一类是只是注册一个账户就可以上传的,然后上传的地方也没有做好过滤。
一类是管理员后台的认证上传的。
当然有的上传可以直接上传脚本木马,有的经过一定的处理后才可以上传脚本木马。无论怎样这是很多攻击者都是通过上传拿下网站的权限。
2.注入漏洞
各种脚本的注入漏洞利用方法跟权限都有所差异。危险的可以直接威胁到服务器系统权限。普通的注入可以爆出数据库里面的账户信息。从而得到管理员的密码或其他有利用的资料。如果权限高点可以直接写入webshell,读取服务器的目录文件,或者直接加管理账户,执行替换服务等等攻击。
3.中转注入,也叫cookie中转注入
本来这个要归于楼上那一类,但是我单自列出来了。有些程序本身或者外加的防注入程序都只是过滤了对参数的post或者get。而忽略了cookie。所以攻击者只要中转一下同样可以达到注入的目的。
4.数据库写入木马
也就是以前可能有些程序员认为mdb的数据库容易被下载,就换成asp或者asa的。但是没有想到这么一换,带来了更大的安全隐患。这两种格式都可以用迅雷下载到本地的。更可怕的是,攻击者可以一些途径提交一句话木马,插入到数据库来,然后用工具连接就获得权限了。
5.数据库备份
这其实是很多网站后台的一个功能,本意是让各位管理员备份数据库。但是攻击者通过这个来把自己上传带后门的图片木马的格式改成真正的木马格式。从而得到权限。记得之前有个网站系统数据库备份的那个页面没有管理认证,那危害就更大了。有的网站数据库备份虽然有限制,但是还是被某些特殊情况突破了。比如攻击者可以备份的格式有,asp,asa,cer,htr,cdx,php,jsp,aspx,ashx,asmx还有几个iis6.0环境下可利用的.asp;x.jpg.asa;x.jpg.php;x.jpg这类的,很多程序员编写的asp程序只过滤解析asp的格式,忽略了php等其他的解析。还有就是备份目录的文件夹名为zzfhw.asp zzfhw.asa这种解析。如果以上的都用不了,攻击者还可能网站目录下的conn.asp文件备份成zzfhw.txt来查看数据库路径,也许会用的数据库写入木马的手段。当然攻击的方法是我们列举不完的。只有通过大家的交流,了解更多。
6.管理账户密码的泄露
也许大家会说上面那一种攻击手段需要在有管理账户的前提下完成。这里我就讲下一些常见的管理账户密码的泄露。
第一:万能密码'or'='or'。还有其他更多的写法。这个的原理大家可以在我网站里搜索下。就是把这个当着管理员的账户密码就可以直接进入后台。现在还有很多网站仍然能进。
第二:弱口令。比如你的密码是admin/admin888/123456/5201314等。这样很容易被猜到。
第三:默认密码。这里分默认的后台密码与默认的后台数据库。假如攻击者知道了你网站是哪一套源码搭建的,就会去下一套相同的源码来看默认的数据库是否能下载,后台密码是否仍未更改。
第四:站长个人通用密码。很多人就是在网络上只用一个密码。不管是哪个环节你的密码被泄露,攻击者可能用这个密码去测试你的网站后台,你的邮箱,你的QQ号,你的ftp,你在其他地方注册的账户。。这个问题有点严重,涉及到社会工程学这一块。
7.编辑器
两大主力编辑器ewebeditor和fckeditor。ewebeditor低版本的确是是存在漏洞,可以构造代码直接上传木马。但是高版本现在市场上的还没有说有什么漏洞。但是最邪恶的却是大家用的时候忘记该ewebeditor的后台密码和数据库路径,从而导致网站被入侵。fckeditor有些修改版的可以直接上传的木马。但自从“;”漏洞出现后,入侵者就比较疯狂了,有的版本传一次不成功,还要再传一次就成功了。很多大网站就被牵连。
8.ftp弱口令
上面讲过了,有可能你用了通用密码。还有就是弱口令。比如你的网站是www.xiexiebang.com。那么攻击者可能把zzfhw作为用户名(事实证明很多虚拟主机都是这样配置的),然后生成一系列的弱口令,比如zzfhw123/zzfhw123456/zzfhw888/zzfhw520/123456/888888/zzfhw.com/zzfhwftp等等,因为可以用相关的工具来扫描,所有他可以生成很多一般人都用的密码来试探你的ftp密码。科学研究证明这个方法危害性也比较大。
9.0day
现在很多人用一些主流的程序。比如动网,discuz论坛,phpwind,动易,新云等等这些用户量很多源码,也会时不时的给大家带来“惊喜”,对于这个大家请多关注站长防黑网最新程序漏洞的文章。尽快为程序打上补丁。
10.旁站。就是拿下与你同一服务器上的其他网站,然后在通过一些xx手段,得到更多的信息。如果权限够大,直接扔个木马到你目录;如果权限一般,扔木马扔不进去,就读你管理员密码,或者其他敏感信息,进一步入侵;如果权限比较差一点,攻击者会尝试嗅探。
11.还有一些不能忽略的。暴库,列目录,任意下载漏洞,包含文件漏洞,iis写入漏洞,cookie欺骗,跨站xss等等很多很多。大家有兴趣的可以在我的网站搜索了解下这些名词及方法。
好了,这些基本的方法都说完了,如果遇见高手觉得还没有说完的,欢迎发我邮箱。我们了解了这些攻击的手段。然后可以针对各个击破。确保自己的网站安全。比如常用的后台是admin.manage.system我们可以改成不常见不会被猜到的,也别再程序上面写什么后台登陆的链接。选择程序的时候,通过百度谷歌查看是否有漏洞,是否为最新版。如果你还爱护你的网站,你可以根据上面罗列的一些方法对自己的网站进行测试,防患于未然。不要等到黑页高高挂起的时候再心疼。
写在后面的话:个人感觉,现在的网站安全普遍来说比较差,主要是大家意识不够。我只是一个小站长,不能跟大公司的安全专家比,虽然我不能给大家提出多么多么厉害的技巧,但是只要能减少贵站被入侵的机会,也就ok了。安全是一个过程,不是一个结果。被入侵了,我们要找到原因。希望大家的网站越做越好。如果上面的文章有错的地方,欢迎来信指正。
总结分析国内外虚拟主机的优缺点
来源:红军 时间:2010-04-21 15:17
最近笔者购买了一款国外主机放我的博客,感觉国外主机在有些方面的确比国内的要好,但是也有其身的诸多不足,我以我的切身感受来给大家谈下国内外主机的优缺点:
从主机性能方面来说国外主机还是很占优势的,我给大家列出几点,具体如下:
1.海外空间容量一般都非常大,比如笔者购买的ipage美国主机,主机空间是1500G,这对于国内的主机来说绝对是个巨无霸了,并且这么大的空间价格也是相当便宜的,我购买的时候是42$.2.数据库大小以及流量是没有限制的,你可以无限建数据库,我就见过国内好多做国外主机这块的把一台主机分成几十个小空间,然后低价出售出去,还是很有的赚的,这个是不是类似于国内的合租?
3.有的国外空间商在你购买主机的时候会免费送你一个顶级域名,比如笔者的ipage主机,还是挺划算的,想想一个域名也是值点钱的吧。
4.支持随时退款,如果你购买的主机不是很理想,你也无条件的申请退款,一般2-3天可以把退款打到你的账户里
当然,根据马克思的哲学理论,我们看待事物要客观,任何事物都有其优点和缺点,购买国外主机也是有很多不足的:
1.主机访问速度问题:从国内访问国外主机,与国内有些虚拟主机相比可能速度上的优势要少一点,笔者购买的主机基本打开网页需要2-4秒的时间,比国内的秒开是要逊色一点,不过听说有款国外的主机速度还是很快的,不过我没有测试过不做评论。
2.售后的问题:对于大部分站长而言,直接用英语与外国人交流还是有一定难度,真正碰到问题的时候却不能让对方明白他能帮你什么,有些主机的后台是全英文的,看起来十分困难,所以对于想购买国外主机的朋友可以选择那些管理后台是中文的主机。
3.国外主机还有可能被墙,一般来说只要你不做违规的站点,被墙可能性很小,即使被限制了,你可以申请换个独立的IP, 还有一点大家要注意的,国外主机对于版权性的东西很敏感,涉及版权类的站点建议不要放在国外,很容易被老外封主机的。
以上就是笔者对于国内外主机的对比,因为使用时间也不长,难免有些地方总结的不是很准确,望能得到大家的批评和指正,谢谢!
本文由www.xiexiebang.com的站长流浪的鱼首发Admin5,转载请标明出处。
第五篇:社交网站可行性研究报告
社交网站可行性研究报告引言
1.1 编写目的:
可行性研究的目的是为了对问题进行研究,以最小的代价在最短的时间内 确定问题是否可解
经过对此项目进行详细调查研究,初拟系统实现报告,对网站开发中将要
面临的问题及其解决方案进行初步设计及合理安排。明确开发风险及其所带来的 经济效益。本报告经审核后,交软件经理审查。
1.2 项目背景:
开发网站名称:
项目任务提出者:
项目开发者:
用户:中国在校大学生
实现项目单位 项目开发工具:
集成开发环境wamp
网页整体布局图 photoshop
界面排版与布局 Dreamweaver
编码工具Editplus
网站开发工具Adobe Dreamweaver
1.3 参考资料:
《软件工程导论》,张海藩,清华大学出版社。
《实用软件工程》,郑人杰等,清华大学出版社。
《梦想之窗需求分析说明书》
《软件工程导论》第五版 张海藩 编著 清华大学出版社
《Web程序设计》第二版 吉根林 崔海源 主编 顾韵华 吴军华 郑玉 编著 电子工业出版社 《数据库系统概论》第四版 王珊等编著 高等教育出版社
2 可行性研究的前提
2.1要求
主要功能:为在校大学生提供一个自由交流的平台
性能要求:学生分享的各类信息及时反映在服务器上及其记录必须无差错的存储在网站的主服务器上。对服务器上的数据必须进行及时正确的刷新。
输出要求:数据完整,详实。
输出要求:简捷,快速,实时。
安全与保密要求:服务器的管理员享有对会员信息库及资料信息的管理与修改。会员只享有对本人信息库的部分修改(写入与读出)。
完成期限:待定
2.2目标:
网站实现后,不仅消除了各高校大学生交流之间带来的不便,而且还让大学生们在自由交流与分享学习资料及经验的过程中得到进步。
2.3条件,假定和限制
经费来源:待定
硬件条件:服务器sun 工作站,终端为pc 机。
运行环境:Linux
数据库:Oracle8
2.4决定可行性的主要因素
成本/效益分析结果,效益〉成本。
技术可行,现有技术可完全承担开发任务。
操作可行,开发过程能被小组人员快速接受。
3 技术可行性分析
系统简要描述:
在登录系统之后,学生们可以再各模块之间任意浏览信息,如新闻模块,数码模块等。也可以上传、收藏和下载一些学习资料,极大地丰富了大学生的课余生活。
4 经济可行性分析
4.1支出
待定
4.2效益
未知
4.3收益/投资比
待定
4.4投资回收周期
2-3 年
4.5敏感性分析
处理速度: 一般查询速度<4 秒
关键数据查询速度: <2 秒用户使用可行性
开发笨网站人员要求有一定计算机基础的人员,系统管理员要求由计算机的专业知 识,所有人员都要经过培训.管理人员也需经一般培训.经过培训人员将会熟练使用一些开发软件.两名系统管理员,一名审计员将进行专业培训,他们将熟练管理本本网站
6 其他可供选择的方案
客户端与服务器端联系在一起,但客户端的功能会有所简化,如上传下载一些大文件资料就必须在PC上进行,客户端只有浏览及交流功能。
7 结论意见
如果在技术、经济、操作都有可行性,可以进行开发。
点击咨询 