第一篇:釣魚網站問題的研究報告
浙 江 大 學 寧波理工學院
熱點問題研究
課程名稱 電子商務支付與結算 題 目 釣魚網站問題的研究報告
專業班級 電子商務101
小 組 童華瑞小組 任課教師 禹銀艷
2013年 4月 6日
目 錄
一、摘要
二、引言
三、正文............................................................1
1.釣魚網站的定義...............................................3 2.釣魚網站的現狀................................................4 3.網站釣魚的常用方法............................................5 4.技術分析......................................................6 6.牟利模式.......................................................6 6.傳播途徑.......................................................7 7.影響危害.......................................................7 8.解決釣魚網站詐騙的難處.........................................8 9.防范方法.......................................................9
四、結尾...........................................................10
五、成員...........................................................10
六、參考文獻.......................................................11
一、摘要
目前“網絡詐騙”已成為個人資金信息安全最大的隱患。據中國反釣魚網站聯盟中心統計,全球“釣魚”案件自2005年始,正在以每年高于200%的速度增長,受騙用戶高達5%。而隨著國內網絡購物的發展,不法分子也越來越盯上這塊流著奶與蜜的福地。而在近日查到的釣魚網站中,尤其以淘寶、支付寶、阿里巴巴等知名電子商務網站成為仿冒“重災區”。越來越多的釣魚案例發生在電子商務的各個環節,那些不同的伎倆不同的借口不同的許諾的背后都是黑色的詐騙計劃。我們將從釣魚網站的定義,釣魚網站的手段及防范方法等多方面來闡述和分析這個問題。
關鍵詞: 網絡詐騙 釣魚網站 定義 手段 防范方法
二、引言
1、研究背景:隨著網絡購物時代的井噴,釣魚網站早已取代木馬病毒成為網絡安全最大的威脅。《2012年中國網站可信驗證行業發展報告》(以下簡稱《報告》)顯示,截至2012年6月底,31.8%有過網購經驗的網民曾在網購過程中直接碰到釣魚網站或詐騙性網站,網購遇騙網民的規模達6169萬。
2、研究意義:能夠讓更多的人了解釣魚網站是如何詐騙,避免更多的人上當受騙,同時保護了正規網站的誠信度,讓大家不會因為釣魚網站而對正規網站有排斥,更多的是無形中維護了網絡的安全性,變相幫助了如今火熱的電子商務。
三、正文
1.釣魚網站的定義
釣魚網站通常是指偽裝成銀行及電子商務等網站,主要危害是竊取用戶提交的銀行帳號、密碼等私密信息。所謂“釣魚網站”是一種網絡欺詐行為,指不法分子利用各種手段,仿冒真實網站的URL地址以及頁面內容,或者利用真實網站服務器程序上的漏洞在站點的某些網頁中插入危險的HTML代碼,以此來騙取用戶銀行或信用卡賬號、密碼等私人資料。
2.釣魚網站的現狀
(1)、總體情況
2013年2月份聯盟共處理釣魚網站1487個。截至2013年2月份,聯盟累計認定并處理釣魚網站106212個。
釣魚網站月處理情況
以上皆是中國反釣魚網站聯盟(APAC)上的數據
(2)、本月釣魚網站仿冒對象分布情況
本月聯盟接到的釣魚網站舉報中,涉及淘寶網、建設銀行、工商銀行、中國銀行、工商銀行四家單位的釣魚網站總量占全部舉報量的82.64%。其中,仿冒淘寶網的釣魚網站比例有所減少,處于釣魚網站仿冒對象的第一位。
從中我們可以看出網絡詐騙的形式依然很嚴峻,且主要還是集中在淘寶網,而淘寶網作為一個C2C的網絡交易平臺,這將嚴重危害網絡支付的誠信度。
3、網絡釣魚常用方法
大多數的網絡釣魚方法使用某種形式的技術欺騙,旨在使用一個看起來正常合法的鏈接,實則該鏈接指向另一個非法的釣魚網站。欺騙用戶訪問釣魚網站,從而獲取用戶的信息。常見的欺騙鏈接有以下幾種:
(1).使用IDN欺騙。攻擊者注冊一個和著名網站差不多的網址名,如:www.tmdps.cnNIC)運行的國家最高目錄數據庫中的“可信網站”子數據庫中,從而全面提升企業網站的誠信級別,網民可通過點擊網站頁面底部的“可信網站”標識確認網站的真實身份。網民在網絡交易時應養成查看網站身份信息的使用習慣,企業也要安裝第三方身份誠信標識,加強對消費者的保護。
(2)、核對網站域名
假冒網站一般和真實網站有細微區別,有疑問時要仔細辨別其不同之處,比如在域名方面,假冒網站通常將英文字母I被替換為數字1,CCTV被換成CCYV或者CCTV-VIP這樣的仿造域名。
(3)、比較網站內容
假冒網站上的字體樣式不一致,并且模糊不清。仿冒網站上沒有鏈接,用戶可點擊欄目或圖片中的各個鏈接看是否能打開。
(4)、查詢網站備案
通過ICP備案可以查詢網站的基本情況、網站擁有者的情況,對于沒有合法備案的非經營性網站或沒有取得ICP許可證的經營性網站,根據網站性質,將予以罰款,嚴重的關閉網站。
(5)、查看安全證書
目前大型的電子商務網站都應用了可信證書類產品,這類的網站網址都是“https”打頭的,如果發現不是“https”開頭,應謹慎對待。
昨日,據360安全中心統計,截至12月24日,我國釣魚網站新增98萬家,相比去年同期增長95.9%,其中有關網購類釣魚網站達39.27萬 家,占今年新增釣魚網站總量的40.8%。而曾一度被認為危害最高的網購木馬卻日趨衰落,目前釣魚網站已取代了木馬成網絡安全頭號殺手。
業內人士表示,釣魚網站數量的激增勢頭亟須相關部門盡快通過《網絡信息保護的決定》議案。在目前網絡安全問題日益嚴峻的情況下,國家相關部門正擬立法保護個人電子信息。
四、結尾
對于網絡釣魚的威脅,光使用殺毒軟件及瀏覽器檢測等反釣魚技術是遠遠不夠的,用戶在進行在線支付操作或接收網絡郵件時應該具有基本的防范意識,能夠識別普遍的網絡欺騙手段,在發覺被釣魚欺騙后應及時采取凍結賬戶,報警等有效手段來降低自己的財產損失。
網絡釣魚之所以危害如此嚴重,關鍵在于它實施簡單,獲利可觀,且發現后不易被抓獲。希望各有關部門能夠加大查獲力度,有效打擊網絡釣魚實施者。同時各大在線交易網站能夠加強自身安全措施,保護用戶的財產及隱私安全。
五、成員
組長:童華瑞
組員:徐佳東、徐鈞科、屠宇馳、許易、徐林杰
五、參考文獻
[1] 2013年2月釣魚網站處理簡報 [2] 百度文庫
[3] 柯新生《網絡支付與結算》電子工業出版社 [4]
CNNIC聯手金融業成立中國反釣魚網站聯盟
第二篇:網絡釣魚研究報告
網絡釣魚研究報告
內容摘要: 網絡釣魚是現今網絡欺詐的常用手段。本文主要展示了網絡釣魚的常見實施方法及反網絡釣魚技術的主要手段。
關鍵詞:網絡釣魚,反釣魚技術,云安全
一、淺談網絡購物
自從電子商務網站阿里巴巴的出現,近幾年興起了網絡購物的狂潮。根據2010年中國網上購物消費者調查報告顯示:2009年我國網上購物的市場規模達到2670億元,網購人數約為1.3億人。有75.1%的消費者認為網上購物總體滿意度不低于網下購物,有58.1%的消費者認為網上購物的樂趣不低于逛街。有37.9%的消費者表示有購物需求時首先會想到去網上購物,有近三分之二的用戶表示會在網下看好商品然后去網上買。只有兩成的用戶認同不會在網上購買單價超過200元的商品。如此看來,網絡購物已逐漸成為時下一種主要的消費手段。
所謂網絡購物,即指買方通過互聯網檢索并獲取商品信息,繼而發出訂單請求,然后借由第三方支付工具或銀行付款,最終賣方使用郵遞或快遞公司配送的方式將貨物送到買家手上。這樣一來,對于買家來說,只需要一臺能夠連接到互聯網的電腦就可以足不出戶、輕輕松松逛遍世界任何一個角落的“商店”。對于賣家而言,進行網上銷售沒有庫存壓力,經營成本較低,以此提高企業的效益。
伴隨著網絡購物的快速發展,帶來的不只有正面影響,越來越多的網絡犯罪出現,使用的手法也層出不窮,對于網絡安全的要求也在不斷的提高。不同于網絡游戲,網上銀行所使用的賬號密碼一旦被他人破解,將直接帶來經濟損失,且很難追回。網絡釣魚是其中主要的一種欺詐手段。
二、網絡釣魚基本概念及其攻擊目標
什么是網絡釣魚?網絡釣魚指攻擊者利用欺騙性的電子郵件和偽造的 Web 站點來進行網絡詐騙活動,受騙者往往會泄露自己的私人資料,如信用卡號、銀行卡賬戶、身份證號等內容。詐騙者通常會將自己偽裝成網絡銀行、在線零售商和信用卡公司等可信的品牌,騙取用戶的私人信息。從而利用這些信息非法盜取用戶的財產,造成用戶的經濟損失。
網釣者的目標一般是針對銀行和在線支付服務的客戶。通過收集用戶的銀行賬號及服務信息,發送假冒電子郵件,來獲取用戶資料。另外,社交網站也是網釣攻擊的主要目標,因為在這些網站的個人數據明細可以用于身份盜竊:2006年年底一個電腦蠕蟲接管MySpace上的網頁,并修改鏈接以引導該網站的用戶到設計好的網站上,竊取用戶的登錄信息。實驗表明,針對社交網站的網釣成功率超過70%。
三、網絡釣魚的危險
據國內知名殺毒軟件公司瑞星公司發表的《2010年第三季度網絡釣魚報告》指出:現在每天出現1萬余個新釣魚網站,其中95%是由機器自動生成,傳統反釣魚技術很難識別。除了傳統意義上的釣魚網站之外,網絡詐騙與客戶端軟件結合、甚至與傳統電話詐騙結合,成為新型詐騙的顯著特點,比如“QQ刷鉆”、“淘寶刷信用”等已經成為黑客賺錢常用的手法。中國反釣魚網站聯盟(APAC)秘書長齊麟日前表示,2010年新增釣魚網站175萬個,受害網民高達4411萬人次,損失超過200億元。金山網絡最新發布的《2010年中國網絡購物安全報告》則顯示:有超過1億用戶曾遭遇過網絡購物的陷阱,直接經濟損失將突破150億元。綜合來看,支付交易等類型的詐騙網站,因為能直接盜取包括銀行賬戶等用戶信息、直接獲利而最為常見。根據金山網盾數據中心的數據顯示,2010年11月,每日新發現的釣魚網站數量都在300個左右,其中80%的釣魚網站都會被買家或者賣家點擊,在被網購用戶點擊到的這240個釣魚網站中有20%-30%的交易成功。
四、網絡釣魚常用方法
大多數的網絡釣魚方法使用某種形式的技術欺騙,旨在使用一個看起來正常合法的鏈接,實則該鏈接指向另一個非法的釣魚網站。欺騙用戶訪問釣魚網站,從而獲取用戶的信息。常見的欺騙鏈接有以下幾種:
1.使用IDN欺騙。攻擊者注冊一個和著名網站差不多的網址名,如:www.tmdps.cn和www.tmdps.cn看起來非常類似,但實際上指向兩個不同的地址(一個用了英文字母的“l”,另一使用了數字“1”),用戶如果沒有注意到這類鏈接地址,將會被引導至釣魚網站,從而導致賬號或私人信息的泄露。
2.使用“@”符號的欺騙鏈接。原本這是一種用來作為一種在地址上包括用戶名密碼來登錄的方法,如ftp://sam:12345@nene.myftp.com:2121表示使用用戶名sam,密碼是1234,端口號為21(后兩項省略則表示使用空密碼并使用默認端口號)來訪問nene.myftp.com這個ftp地址。同時該方法也可用在瀏覽網站中:http://www.tmdps.cn@news.site1.com/這個地址會讓用戶誤解為是打開www.tmdps.cn上的一個頁面,而實際上該方法則是會將用戶引導到news.site1.com這個頁面上,這種方法在大多數的瀏覽器中會被偵測出,從而禁用或者顯示警告信息。
3.使用子網域欺騙。指使用二級域名或多級域名的方法欺騙用戶。如www.tmdps.cn這個鏈接看起來似乎會將用戶帶到google網站的子域news下面,而實際上該鏈接是將用戶帶到news網站的google這個子域下,從而進行欺騙活動。
4.鏈接描述欺騙。還有一種常見的偽造方法是讓錨文件看起來合法,實際上卻鏈接到釣魚網站。即在網頁上鏈接的描述內容上使用www.tmdps.cn這類看似正常的地址,實際上當點擊這個地址時跳轉的目標是另一個網站。
5.使用圖形鏈接。攻擊者使用圖像鏈接代替文字,使某些反網釣過濾器及用戶難以偵測網釣鏈接的正確性。
一旦受害者訪問釣魚網站,一些網釣欺騙手法還將繼續,如:
1.一些釣魚網站使用JavaScript等腳本命令來改變地址欄,它們會放一個合法地址的地址欄圖片蓋住地址欄,或者以關閉原來的地址欄并重開一個新的合法URL來達成。用以欺騙用戶讓用戶以為打開的網站是正常合法的網站。
2.某些技術高超的攻擊者甚至會利用某些網站自己的腳本漏洞對付受害者,即跨網站腳本攻擊(XSS攻擊)。它們導引用戶直接在他們自己的銀行或服務的網頁登錄,在這里從網絡地址到安全證書的一切似乎是正確而沒有問題。而實際上,用戶在其網頁上的操作已經被攻擊者獲取了。
3.還有使用一種被稱為萬用中間人網釣包,它使用一個簡單易用的界面讓網釣者重制網站,并捕捉用戶進入假網站的登錄細節。
4.為了避免被反網釣技術掃描到和網釣技術相關的信息,網釣者們也開始利用Flash構建網站,由于將文字隱藏到了多媒體(Flash)對象當中,這類網釣網站很難被通常的反網釣技術偵測到。
五、常見反釣魚技術
打擊網釣比較流行及通用的做法是通過瀏覽器進行黑名單過濾,在瀏覽器中保存一份已知網釣網站的名單,該名單將實時更新。也有的軟件將用戶訪問過的地址發送到中央服務器以供檢查,但這種方法引起了個人隱私問題的關注。還有一類黑名單過濾是對于DNS服務的,使用一種特殊的DNS服務,篩選掉已知的網釣網域,這種做法的優點是任何的瀏覽器都能兼容,類似于在系統的host文件上將目標域名映射到本機或一個錯誤的IP地址來實現屏蔽某些網站。
同樣各類殺毒軟件及網絡安全軟件也不斷的提升對釣魚網站的偵測。早期殺毒軟件通過用戶上報釣魚網址,人工判定該網址為釣魚欺詐網頁之后,將它加入到黑名單,發布到殺毒軟件的升級包中。不過該方法有很大的局限性:首先人工收集數量有限,且大部分用戶不會舉報釣魚網站。其次被攔截的釣魚網站,能夠很快切換到新網址繼續欺詐,釣魚網址的生存周期一般只有1-2周時間。黑名單里的網址失效率極高,攔截效果并不明顯。
由于殺毒軟件使用黑名單來對抗釣魚網站的效果不佳,出現了類似對付病毒的方法來對付釣魚網站:提取釣魚網頁的特征碼,再用特征碼掃描來判定網頁是不是含有釣魚欺詐內容。然后,將特征碼定期升級到殺毒軟件的識別庫中。用戶的殺毒軟件升級后也能對含有類似特征碼的釣魚網站進行偵測。
由于近年來云安全技術的出現,某些殺毒軟件將該技術運用到對釣魚網站的識別體系。“云安全(Cloud Security)”是網絡時代信息安全的最新體現,它融合了并行處理、網格計算、未知病毒行為判斷等新興技術和概念,通過網狀的大量客戶端對網絡中軟件行為的異常監測,獲取互聯網中木馬、惡意程序的最新信息,傳送到Server端進行自動分析和處理,再把病毒和木馬的解決方案分發到每一個客戶端。通俗的說就是一個新的病毒樣本在加入云安全(云端)的任意一臺計算機上被發現,都會被上傳到云安全終端上進行鑒定。確定是病毒或木馬等危害性程序后將被分發到每一臺加入云安全的計算機上。
云安全對于釣魚網站的截獲也是類似:在云端自動收集可疑網址,完成對可疑釣魚網站的自動鑒定。由于基于云安全的系統不需要客戶端頻繁更新,只要客戶端能上網,就立即獲得最新的釣魚網址列表。從而防止釣魚網站攻擊。實踐證明,云安全是目前攔截釣魚網站的最佳手段。據2011年3月11日的瑞星“云安全”系統統計,一周共截獲了釣魚網站的841292個。
六、結尾
對于網絡釣魚的威脅,光使用殺毒軟件及瀏覽器檢測等反釣魚技術是遠遠不夠的,用戶在進行在線支付操作或接收網絡郵件時應該具有基本的防范意識,能夠識別普遍的網絡欺騙手段,在發覺被釣魚欺騙后應及時采取凍結賬戶,報警等有效手段來降低自己的財產損失。
網絡釣魚之所以危害如此嚴重,關鍵在于它實施簡單,獲利可觀,且發現后不易被抓獲。希望各有關部門能夠加大查獲力度,有效打擊網絡釣魚實施者。同時各大在線交易網站能夠加強自身安全措施,保護用戶的財產及隱私安全。
姓名:陳文杰
專業:計算機科學與技術 學號:09642301003
第三篇:淘寶網站研究報告
篇一:淘寶網站分析報告 關于淘寶店鋪的分析
隨著人們生活水平的提高,人們越來越喜歡追求高品質的生活。特別是現代的女性,他們在追求高品質的生活中,往往把裝飾作為自己最重要的一部分,例如衣服,化妝品等等。因此衣服、化妝品店鋪有著很大的發展空間。我這次做的淘寶店鋪的分析是關于化妝品店鋪的分析,想通過分析一些優秀的化妝品店鋪來了解這些店鋪是用怎樣的方法來運營店鋪,并吸引大量客戶的。
喬莎旗艦化妝品店、shv-yog 舒友閣、菲詩蔓化妝品專營店三個化妝品網店是我分析的主要內容。其中沈陽菲詩蔓商貿有限公司的菲詩蔓化妝品專營店是在沈陽有實體的淘寶網店,可以進實體店進行購買了解考查其與淘寶網店中的產品描述。
一:喬莎旗艦化妝品店
喬莎旗艦化妝品網店是眾多化妝品網店中的佼佼者,具有很強的競爭力和擁有很大的用戶訪問量。
1:關鍵字。
喬莎旗艦化妝品店,它的名字非常獨特,在各大搜索引擎搜索中,輸入喬莎出現的網絡鏈接內容基本上都是喬莎旗艦化妝品店的鏈接,具有很強的獨特性。所以喬莎這個關鍵詞對喬莎旗艦化妝品網店的發展非常有優勢,是一種無形的資產。圖一:喬莎關鍵字鏈接2:首頁設計。
進入淘寶喬莎旗艦化妝品專賣店首先進入眼中的是一種非常吸引人的首頁布局。它溫馨人性化的首頁設計能夠深深地吸引客戶瀏覽以致購買其產品。它的question問題標欄的設計拉近了商家與顧客的關系,能夠引起顧客的興趣,使顧客不由自主的點擊自己遇到的問題來參與互動。而且喬莎旗艦針對顧客遇到的不同問題,都請一些美容專家做了精心的指導設計,引導顧客選擇正確的化妝品類型。圖二:喬莎旗艦化妝品首頁 3:新產品展示。
頁面中新產品促銷設計非常新穎,它把新產品促銷信息放在首頁非常重要的位置,而且圖片較大,圖片信息鏈接較方便。4:商店信譽度。
喬莎旗艦化妝品店的信用等級非常高,它較好的信譽度是保證它獲得成功的關鍵。在網絡交易中,人們都是在虛擬的環境中進行交易,相互之間的信任度是非常低,但是一個個人或者商家只有把信譽度放在第一位才能成功,才能獲得優勢。我認為喬莎旗艦化妝品店做到了。圖三:喬莎旗艦化妝品信用等級 5:優質的交流服務平臺。
當我瀏覽到喬莎旗艦店的交流區時,看到好幾頁的帖子,而且所有的帖子后面都標注這掌柜回復。我懷著好奇的心情查看了幾篇帖子,當我讀者用戶和掌柜的帖子對話時,我感覺到這不是顧客與商家的交流了,這就是朋友與朋友之間的交流。顧客已經沒有把掌柜當做一個單純的賣東西的商家,而且掌柜也沒有把顧客當做單純的買東西的用戶。他們之間交流的感情像是朋友之間的友情一樣。如果一個商家把它和客戶之間的感情處理到這個位置,我相信它肯定會成功的。
二:shv-yog 舒友閣 舒友閣于2005年創立,創立至今,已經擁有超過500萬的體驗人群,積累了良好的市場口碑,在淘寶網十分暢銷,深受網友喜愛,歷經七年,舒友閣憑借其準確地定位、專業的品質和優秀的團隊研發出一系列功效卓越、生態安全的原生態保護品,形成舒友閣獨特的清新高雅的文化內涵和卓越品質。1:強大的折扣優惠。
進入舒友閣首頁頁面,首先引入眼簾的是一系列折扣優惠的商品信息,我認為它靠得是商鋪的聲譽來吸引客戶,然后用一系列折扣信息來打動消費者購買的欲望。圖四:舒友閣促銷信息
2:美容導航模塊的設立。
美容導航模塊給廣大的舒友閣客戶提供了方便。由于舒友閣是個比較大地淘寶化妝品商鋪,它有上千中的化妝品產品,當顧客光臨舒友閣網店時,他們不可能一個圖片一個圖片的來搜索他們需要的產品,舒友閣根據廣大搜索引擎的模式,設立的導航模塊模式,為廣大用戶提供了方便。
圖五:美容導航模塊 3:活動專區
每個客戶有一種獲利的成就感,當你能讓他稍微在心里上有一種獲利感時,他就可能對你這個商鋪,這個產品感興趣。他就可能購買你這個產品。如果一個商鋪能夠提供一些優惠折扣的信息,能夠很大程度上增加商鋪的訪問量和商鋪的成交量。圖六:活動專區 4:寶貝分類
舒友閣頁面有較好的寶貝分類,例如按皮膚流程分類,按功效類型分類,按護理類型分類,按膚質類型分類等。他對產品進行了叫好的細分。
圖七:寶貝分類篇二:淘寶網調研報告 淘寶網調研報告
一、淘寶網 的現狀分析
1、淘寶目前在電子商務市場面臨的競爭情況
淘寶降低了開店的門檻,放寬了加入消保的政策,又開發了旺鋪功能,實施了淘寶客政策,加之產品供應商推廣的零付款產品代理制度,致使一時間淘寶小店如雨后春筍急速遞增,搜索同一種商品關鍵字的結果往往是幾千幾萬條,估計除了軍火,毒品和人口在淘寶上沒有交易外,其它很難找出淘寶上不出售的東西了。然而與此同時,淘寶買家卻未必與賣家成比例增長,究其原因,可能基于以下幾點: 一是隨著電子商務的普及,各大門戶口網站(騰訊、百度等等)均開通了自己的網絡交易平臺,并不斷發展壯大,與淘寶分庭競爭。二是專業性的網絡交易網站不斷成熟完善(禮品網、太平洋女性網等等),其專業性的知識介紹、在線問答、產品宣傳等,對買家形成強烈的吸引,一定程度上分流了網絡買家。三是越來越的商品生產廠家自己建立銷售網站,在網絡上直銷本廠產品,其獨特的價格優勢,宣傳優勢,售后保障也必將吸引買家的光顧。
2、淘寶針對電子商務競爭目前采取的策略
相信淘寶肯定也意識到電子商務競爭的激烈性,為了保住淘寶網絡交易老大的地位,也在不斷改進營銷策略,不斷推出新政策,新措施。
一是實行淘寶客制度。這可謂是中國甚至國際電子商務推廣策略的一大創舉,它以最小的代價,換來了超高的人氣宣傳。
二是不斷改進開發網站新功能,旺鋪功能,滿就送功能,在線游戲交流功能,論壇也在不斷改進,使網站除了商品交易功能外,開發其它的功能吸引更多的網民光顧淘寶,從而提高成交概率。
3、淘寶在營銷策略與手段上存在的問題
(1)關于網站的宣傳推廣
作為阿里巴巴的旗下網站,相信目前網民幾乎沒有人不知道淘寶的,但如何讓現在的淘寶仍然像以前那樣在個人網絡購物平臺上獨領風騷,卻急需加大網站的宣傳推廣制度,前面提到目前推行的淘寶客制度是一個非常好的策略,但在實施的細節上卻不盡人意,如何讓更多的非淘寶會員加到淘寶客,讓現有的淘寶客以更大的精力宣傳淘寶店和商品都需要進一步改進。
(2)關于網站功能的開發完善
網站需要改進,需要增加功能,但過分的改進就叫激進了,短短一段時間,淘寶社區已經改得面全非,又是空間,又是淘江湖,找個自己曾經發的貼子都不知從何下手,要開好多窗口才能找到,幫派發貼還必須先加入幫派,并且要求只能加15個幫派,很麻煩。
(3)淘寶產品的分類與搜索關鍵詞需要進一步改進
盡可能讓更多的買家簡便的搜索到所要購買的產品,試想一下,隨便搜索一個或兩個商品關鍵詞,出來上萬甚至幾萬個商品,你讓買家怎么逐一挑,可能挑煩了就不在淘寶買了,同一種商品,同樣的圖片,同樣的說明,價格卻各不相同,這難道在一定程度上不會降低買家對淘寶的誠信度嗎?
二、淘寶網的優勢
1、準確的市場定位
淘寶的客戶目標定位自創業初期就定位在中低端。由《2009年中國網絡購物調研究報告》可以看出淘寶網以中低端定位擊敗了ebay 易趣中高端的市場定位而成為中國本土電子商務的領軍企業。淘寶的買家主要以5000元以下的中低收入者為主。
2、便捷的支付方式
阿里巴巴旗下綜合型第三方支付企業-----支付寶占據了 47.1%的市場份 額。其交易額規模達到了1392 億元。首先,用戶規模基數大是其實現快速增長的基本保證,;其次,市場份額持續擴大。從各個細分市場份額的排名來看,支付寶都名列前茅。再次,在使用網上銀行完成支付繳費的用戶中,有 54.8%的用戶是通過第三方支付平臺接入的,這體現了第三方支付對銀行的重要作用。各銀行與第三方支付的合作中,招商和郵政儲蓄銀行合作密切,國有四大銀行需加強合作。所以更為支付寶提供了良好的商業契機.使其處于領先地位。
3、無形資產優勢
優秀的品牌形象、良好的商業信用、積極進取的公司文化。淘寶網作為世界最大的電子商務公司的子公司,其形象和影響力遠遠高于其他公司,特別是在中華民族企業將受到極大的關注。淘寶網這一品牌也是極其重要的,“淘寶”已經成為人們的口頭語,便于口碑營銷和記憶。馬云的形象在中國青年人的心中也是無可替代的。在國際上,馬云先生也是apec的重要成員、中方常駐代表、主席。阿里巴巴集團奉行的理念和企業文化也是其他企業所不可比擬的。
三、淘寶網的劣勢
1、個人信用評價存在缺陷
首先,偽造信用。有些賣家會召集親戚朋友在其店鋪中購買商品,表面上達成交易,來獲得好評進一步達到很高的信用。但賣家不會發貨并把錢退還給他們,這種“刷信用”的方式在新手賣家中尤其多見。其次,協商評價。當賣家出現了“中評”或“差評”之后,買家很可能會在賣家的軟硬兼施的情況下(退貨補償、騷擾威脅等)被迫改成好評,在這種情況下的好評反應的顯然不是賣家的真實信用。然后,惡意評價。惡意評價一般只是針對賣家,產生的原因有很多種,如惡意買家、對手的不正當競爭等。雖然淘寶給予了賣家申訴的權力,但由于申訴過程復雜且時間過長很多賣家都采取妥協的態度來息事寧人。
淘寶個人信用評價規則沒有明確給出評價買賣雙方的標準,因此使用者只能憑自己的經驗和感覺來進行評價,這樣就造成了評價主觀性太強,無理可依。因此,很難給其他欲購買者很好的參考價值。
其次,評價的算法過于簡單。第一,算法中沒有考慮到交易金額的問題,目前淘寶的評價都是以交易筆數為單位來加的。一萬塊錢交易還是一塊錢的交易得到的評價機會都是一樣的,而且它們的評價效用也是一樣的。這樣將不能真實反應商家的真實信用。第二,算法中沒有考慮時間因素問題,淘寶的評價即使幾年前的評價也累加到商家的評價當中,但是這樣的評價和現在的評價的效用肯定是不能比的。這就導致了前期商家對信用很重視累計到了很高的評價,后面的評價對其信用的等級幾乎沒有影響了,可能致使商家對自己的產品和服務的質量產生懈怠。
2、缺少退貨情況的處理。
“淘寶網”網上交易流程中未涉及對于退貨情況的特殊處理,而退貨情況是極為常見的。現在“淘寶網”交易流程中若買方對于商品不滿意或有其他原因,買方需在“支付寶”要求的期限內申請“退款”,退款處理周期也較長。此外,若買方未在此期限內申請,那么“支付寶”將直接將貨款匯至賣方賬戶,買方將無法追回此次交易的貨款。
3、缺少對賣方的約束。
在交易流程中缺少對賣方的約束,賣方在網上發布的商品信息很有可能是其沒有或缺貨的商品,因此買方下了訂單后,賣方才提示買方說自己缺貨,造成此次交易失敗。這種對賣方約束的缺少,必然在一定程度下降低了“淘寶網”向買方提供服務的質量。
4、第三方支付平臺無法處理交易糾紛且信用等級低,存在一定的金融風險。
“支付寶”在交易中只起到中介的作用,對于買賣雙方的交易糾紛,“支付寶”或“淘寶網”都無法處理。“支付寶”等第三方支付平臺的信用等級僅為一般的商業信用,較之于銀行而言,其信用等級是較低的,其抵御各類風險的能力也相對較弱。因此,一旦“支付寶”在運作過程中出現問題,“淘寶網”網上交易流程即不可用。此外,買賣雙方把資金暫存于“支付寶”上,“支付寶”有挪用資金的可能性,這在一定程度上降低了“淘寶網”交易流程的安全性。
四、淘寶網需進行改進的建議:
1、消費者增強個人信息安全防范意識
通過實施防火墻技術、加密技術、認證技術、防病毒軟件即時升級來保障交易的安全,同時對專業提供網上支付服務和第三方平臺作用的企業應有足夠的認知。在產品的問題上,當權益受到侵害后,要學會利用法律武器以保證自身的合法權益。
2、加強對電子支付平臺的管理
金融監管部門和央行應加強對電子支付平臺的監督管理和檢查力度,此外要對第三方支付的賬戶進行條理規范,要求第三方不得隨意挪用占用中轉帳戶資金,不得進行風險性盈利投資甚至投機,要求第三方在開戶行存入保證金,一旦出現問題,銀行可以抵御風險。
3、完善法律體系
加強信用教育信用法律是網絡信用機制運行的有效保障。只有做到有法可依、有法必依,才能有效地維護交易秩序和參與者的利益,懲罰那些利用信用機制漏洞來賺取利潤的人。我們必須建立信用法律體系,才能確保網絡購物乃至整個社會和市場經濟的秩序。同時,應重視相關法律法規的制定與出臺,維護網絡購物的發展。在全民中普及信用意識,提高人們的信用素質,才有可能從根本上解決信用缺失的問題。同時,應進一步擴大對信用專業人才的培養,彌補我國巨大的信用人才缺口,加快國家信用體系的建設和發展。
4、加強網上身份認證的管理
身份認證是信用管理中不可缺少的一個環節。在網絡購物中,由于網絡的虛擬性,身份認證更是不容小覷。任何網絡交易平臺都應該對買賣雙方進行身份認證。從網上對交易對象進行嚴格的身份認證管理,既有利于維護整個網上交易秩序,也有利于約束交易對象,使其在關心自身利益的同時培養良好的誠信意識與習慣。可以采取由國家權威機構進行第三方身份認證和信用認證,這樣既可以發揮身份認證的作用,又可以避免 隱私被泄露或用于商業用途。
5、利用科學的方法,建立統一的信用評價體系
完善信用評價指標體系。用戶在對其交易對象作出信用評價時,總是傾向于對交易過程中對方的表現作出評價。而現有的評價標準過于簡單,無法對用戶作出正確引導,可能會使得評價中摻雜一些無關因素。因而有必要對指標體系進行橫向與縱向的拓展,并用文字、數字等對各指標的等級進行定義,描述它們之間的差別,從而盡量減少評價的主觀性,提高其合理性。篇三:淘寶購物平臺研究報告 淘寶購物平臺研究報告
淘寶網提倡誠信、活躍、快速的網絡交易文化,堅持“寶可不淘,信不能棄。”在為淘寶會員打造更安全高效的網絡交易平臺的同時,淘寶網也全力營造和倡導互幫互助、輕松活潑的家庭式氛圍。每位在淘寶網進行交易的人,不但交易更迅速高效,而且交到更多朋友。2005年10月,淘寶網宣布:在未來5年,為社會創造100萬工作的機會,幫助更多網民在淘寶網上就業,甚至于創業。直到了2007年,淘寶網已經為社會創造超過20萬的直接就業的崗位。特別是2008年的金融危機之下,通過淘寶網進行的消費,無論從數量還是金額卻都在逆勢而升。阿里巴巴的成長與導購網站爆發性增長前夜:導購網站早在2004年就已經出現,但09年出現爆發性的增長,究其原因主要是阿里巴巴的人肉營銷模式導致。淘寶已經是c2c業界的大佬,這個毫無懷疑,而由此滋生出來的中間行業--導購。淘寶瞄準了代推廣這一市場,在成立了阿里巴巴之后,大力施行淘寶的淘客計劃。淘寶網與導購網站的合作可以說標志著馬云又帶起了一個行業。
一、購物流程描述:第一步:登陸淘寶網,尋找自己喜歡的以及自己需要的商品,如風衣。第二步:選擇商品的顏色、尺碼,數量等,點擊立即購買,正確填寫你的收貨地址、收貨人、聯系電話,以及補充玩你的個人信息,點擊“確認無誤”
第三步:選擇支付寶余額支付,輸入支付寶支付密碼,點擊“確認無誤”后付款。第四步:支付寶賬戶余額付款成功,點擊查看本筆交易詳情。
第五步:賣家發貨后,買家注意查收貨物,收到貨物后,點擊“確認收貨“,付款給賣家。
第六步:輸入支付賬戶寶支付密碼,點擊“同意付款:給賣家。第七步:成功付款給賣家。第八步:給對方評價。第九步:評價成功。
二、開網店的步驟: 第一步:1、進入淘寶網的首頁,點左上角“免費注冊”。新頁面打開后輸入你想要的用戶名,輸入兩遍密碼,輸入圖片中的驗證碼,點擊“同意協議并注冊”。
2、驗證賬戶信息。請確保你擁有一個手機并能正常接收手機短信。根據提示輸入手機號碼,中國大陸用戶請保留“+86”這樣的前綴,因為“86”是中國大陸的國際長途區號,點擊“提交”。如果原來已經在淘寶網買過東西,不用重復注冊。在淘寶網,一個賬戶可以同時是買家和賣家兩個身份。
第二步:申請支付寶實名認證
1.、點擊“我的淘寶”后,你可以看到“賣寶貝請先實名認證”的提示。
要開店必須要通過淘寶的支付寶實名認證,就是讓你的支付寶和店鋪和你的身份掛鉤,讓你的店鋪和支付
寶有名有份。
2、注冊支付寶賬號
在你注冊淘寶會員時淘寶會自動送你一個支付寶賬號,注冊淘寶成功的頁面右下角,系統會提供您一個綁
定的支付寶賬戶,賬戶名即您注冊淘寶時的郵箱地址(你也可以自己綁定一個自己的郵箱作為支付寶賬號)。
3、申請支付寶實名認證 第一步:進入“賣家中心”,點擊“我要開店”或“免費開店”,在“開店認證”處點擊“開始認證。
第二步:點擊“開通支付寶個人實名認證”。第三步:確認您自己是否已經滿18周歲,并同意《支付寶實名認證服務協議》。第四步:個人實名認證有兩種認證方式; 方式一:在線開通支付寶卡通。(我們以方式一為例)方式二:通過確認銀行匯款金額來進行認證。第五步:選擇一家您已經開戶的銀行;(我們以招商銀行為例)第六步:輸入您真實姓名和身份證號碼;
提醒:輸入的姓名和身份證號碼需和您的銀行卡的登記信息一致。第七步:進入對應銀行的網站進行操作;
提醒:不同銀行的頁面顯示會有區別,請您屆時注意區分,仔細填寫。第八步:回到“我的淘寶”,刷新頁面,實名認證就成功了。
三、特色服務
第三步:淘寶開店考試
第四篇:建立網站 問題匯總
拉風:新手如何快速上手做網站
時間:2010-04-26 12:50
記得筆者剛開始做網站的時候,是從垃圾站入手的。也就是一些娛樂站,電影站、兩性站之類的,為什么說是垃圾站呢?因為網站掛的是一些垃圾廣告,彈窗,浮窗廣告,這些廣告嚴重影響了用戶體驗,而垃圾站的最大特點就是流量來的特別瘋。筆者覺得垃圾站特別適合新手站長,因為容易上手,比較有成就感。有成就感了,工作就有效率,在這里建議一些新手,做網站應從垃圾站做起。所謂萬丈高樓平地起。不要一開始就操作論壇,行業站。新手往往很難入手,大多會以放棄靠終。那么新手到底如何入手做網站呢:
網站的定位:這一點很重要,決定著你網站發展的前景。筆者覺得網站的定位結合個人愛好和特長做選擇比較好,打個比方說,你是學計算機專業的,你還是個學生,做一個電腦方面的站或者論壇就比較適合你。如果你個人沒有任何特長,可以考慮做自己的博客或淘寶客。
取個好域名:做到便于用戶記憶,比如說go7go.cn這個域名,代表著一起去的意思,這也比較好記。做本地論壇的話,可以考慮取本地的區號。做公司站的可以取公司的“拼音”或者簡寫,再者英文跟數字相結合,如467cc.cn,這樣用戶很容易就把它記憶起來。總之一句話,域名選取越簡單越好。
程序的選擇:可能有些新手剛接觸做網站的時候,會以為做成一個網站是多么了不起的事情,其實這是錯誤的想法,也許是2005的時候是,現在已經不是了。現在的站長很多不懂技術,只懂運營。新手如果只做一些文章、信息類的,可以用老Y文章,或者用DEDECMS。前面較容易一些,后面適合有點技術的新手。
空間的選購:要抓住兩個重點,一,穩定。二,高速。現在很多站長慢慢把網站搬回國內了,所以新手在選購空間的時候首選國內空間為宜。要購買前要進行測試,前面我已經說過了,就不多說了。如果新手找不到好的空間,可以聯系我,QQ:827595264。
最后,我想給新手說幾句話:
1、千萬別在QQ群發廣告,直接帶網址。
2、剛開始不是用論壇群發、博客工具群發,做好內容為佳。
3、外部鏈接不要做得太頻繁,否則會出現鏈接過剩,百度十一位,降權現象。
4、不要天天盯著網站統計,流量統計,新站在初期流量是十分不穩定的,流量的大起大落,會直接影響著你做站的心態,新站著重做好用戶體驗。
5、不要抱著一下子就想賺大錢的心態,這樣你永遠賺不了錢。建議新手腳踏實地,學會循序漸進,給自己制訂一個計劃表,每天更新多少量,做多少外鏈,從小目標到目標,不用三五年時間,你將是一個成功的站長!建網站的步驟——九月教你最簡單的建站
時間:2010-04-26 17:07 九月在網上賺錢-九月博客里做教大家賺錢的經驗,主要從網盤賺錢(網盤賺錢日賺20美元)、淘寶客(淘寶客網站月賺1000)、博客賺錢等這幾個方面。對于啥沖浪賺錢,點擊廣告賺錢,掛機賺錢,九月一概沒有興趣,也不會去推廣。現在如果你做網上賺錢,卻還沒有一個網站,那么是絕對說不過去的。點擊賺錢、掛機賺錢、威客賺錢這些賺錢方式,都不再長久,而且收獲都很少,并且絕對不是主流。當然,如果你能從非主流中找到相當的利益也是不錯的。
九月之前分享的淘寶客單頁面做法等等都是需要建站的,但是現在網絡上的新人太多不會建站,找人建站還會給人騙。因此,九月在這里介紹一下最簡單的建站步驟、方法等等,希望能幫助到想通過自己建站解決問題的朋友。
最簡單的建站首先得先從建站的基本需求開始:
一。建站之前,你一定要明白你要建什么網站。必須想好的是,你的網站標題(關鍵字)、你的網站描述,你大概想要網站的樣子。
二。得先有一個空間,網站是放在一個空間里的。這里的空間,可以指網絡服務器,可以是新網、萬網有賣的虛擬服務器等等。對國外有興趣的可以看看(DramHost主機購買教程)
三。空間有了,那么要選擇一個建造網站的程序。這里九月推薦一個最簡單的建站程序:wordpress,同時,也是最好用,全球使用的最多的建站程序。
四。建站程序選擇完,需要把這個程序上傳到空間,一般使用的方法是FTP上傳方式。具體操作步驟,稍后講。
五。上傳完程序,建站完畢(程序自動安裝也就1.2秒完成)。那么你要建造什么樣的站呢?這可是你之前就要事先想好的。根據你的建站內容,選擇合適的模板。
什么是模板?空間相當于房子,建站程序相當于選擇的裝修團隊,而模板就是你要裝修的樣子、格局,而網站內容就是你在這個房子里面放置的東西,這樣講清楚了吧?
六。一切完成,最后稍微優化一下網站,讓他更加符合SEO。
七。更新你的網站。
今天只是講講,最簡單的建站流程和思路,下一次九月將就各個細節展開說明。
網上賺錢-九月博客 原創文章,轉載請注明來源并保留原文鏈接。
注冊域名要注意的五個基本原則
時間:2010-04-25 19:31 那些可供注冊的域名----更不用說那些好的域名----正在不斷減少,下面是你注冊域名時需要注意的五個基本原則。盡量遵循下列的幾項原則,你網站的流量就有機會立刻增加----人們把它們稱之為“5個S”:
1.匹配(Suitable);
2.易記(Sensible);
3.后綴(Suffix);
4.簡短(Short);
5.語法(Syntax).匹配:
首先,選擇一個想對應的名字,就是與自己公司或品牌名稱相同的域名,讓人一下就能找到你,能夠表明你公司或品牌名稱的域名,不僅容易記憶,而且也更可信。它是真正體現域名所有人獨創性、顯著性、識別性的部分,是域名的核心。紐約域名咨詢公司INTERBRAND的專家PARKIN就認為獨創性是域名最有價值的特征。中外企業的成功實踐表明,不論哪類企業,最佳做法都是要實現企業名稱(商號)、商標、域名的統一與整合,以構成完整的企業識別系統(CIS)。例如,美國微軟(microsoft)公司的商號、商標與域名的識別性部分均為microsoft,三者良性互動,識別力極強。任何一個人想訪問海爾 tcl 長虹網站,必定輸入haier.com tcl.com changhong.com;從基本上講, 擁有自己公司或品牌域名,你的域名本身要能吸引更多瀏覽量。當你和一個沒有自己公司或品牌域名的同類產品競爭時,它自然會傳達一種信息,你的網站和它們的不同, 你是正宗可信的,甚至在他們登陸你的網站之前,你的域名就能夠給他們這種感覺。
易記:
第二,對于中國人來說,你的域名應該選擇拼音或易記的英文詞語,這是你在選擇域名時的首要原則。設想一下,應當盡量讓他們很容易的去記住,而不是讓人們很容易記錯你的域名。
例如:避免分字符(像hai-er.com, www.tmdps.cn/.net(當中有部分歷史原因,企業較普遍使用com.cn或話是覺得跟com的聯系更密切點,組合更穩重。對于一個具有全球戰略眼光的企業家來說,通用頂級域名當然是首選,除非企業鐘情的通用頂級域名已被注冊,且索價過高。使用通用頂級域名不僅顯得大氣簡潔,而且可彰顯企業的全球化理念。
簡短:
另一方面,域名越短越好。例如,以下兩種域名Tencent.com和jz059.com,jz059.com,哪一種更容易記住,而在你敲入鍵盤的時候更不容易出錯?顯然是后一種。
語法:
第五個原則是讓你的域名合乎語法。千萬不要半土半洋,就像chinabaoxian.com woloveni.com這樣的.從本質上說,設法讓人們比較容易的登陸你的網站,方式越簡單,登陸的人就越多,你的網站就越有價值----即使沒有做任何廣告。仔細考慮一下,以一個你的網站的訪問者的角度去想,他們會選擇什么樣的關鍵詞去搜索你的網站。你考慮的越周全,你的瀏覽量就越高。所有的事實證明你的域名是建立你的品牌和開拓市場的重要機會和基本手段。明智的使用它,你的網站將會贏得更多的瀏覽量,最終也就意味著將贏得更多的潛在的商機。
網站如何防止黑客的幾個技巧總結
來源:站長防黑網 時間:2010-04-24 06:00
寫在前面的話:大家不要把那些掛黑頁掛馬的“黑客”想得太厲害了,厲害的是不屑于這些的。這一句話就夠了。
現在的黑客網站可謂是多如牛毛,不管在哪里只要你愿意學,都可以學到一招半式。看過別人的個性簽名:賣菜的王大媽是黑客,烤紅薯的李大爺也是黑客,對面成人用品店的老板,挖日,還是黑客-_-~!...黑客還真多啊!!據不完全統計,每天都有至少成千上萬的網站被入侵篡改。有次在某群里聊天,一個高中生為了找到一個邂逅的女生的資料,入侵當地的民政局的內網服務器查看信息。nb吧。過程估計是相當的精彩。正所謂只要有電腦的地方,就會有江湖。被黑總是有理由的??歡迎大家到站長防黑網來交流。
網站如何防黑?
我們從做站開始講起。首先選好服務器這個是很重要的。因為即使你的網站程序再安全,服務器被攻破了,你的網站就淪為玩物了。也許在朋友們的眼里有個想法是安全的服務器會更貴吧。其實不然,資金的投入只能說是軟硬件的加強,讓網速或者負荷能力有所提高。但服務器的安全是可以人為配置的,只要網管的設置恰當,就能讓服務器安全很多。在以前的一些實踐當中發現很多政府學校的設置得都比較欠佳。仿佛是架上了iis只要能瀏覽網站就算完工。以前聽一個朋友說政府學校的網站,只要拿到一個webshell,基本上服務器就可以拿下了。這句話可以說明個現象,很多學校政府的網站管理員明顯不夠重視網站安全。雖然你網站只是發布點新聞文章而已,但是被攻擊者入侵,那他的目標就不一定是單純的網站了,而是架起了一座通往內網服務器的一座橋梁。再來談談我們個人網站。個人網站由于資金方面的考慮,也基本上都是托管在虛擬服務器上的比較多。服務器的安全我們個人站長也做不了什么工作,所以選擇一個好點,安全的空間是很有必要的。同樣是虛擬主機,我遇到過的還是有比較安全的。杜絕了一些常見因為的目錄權限配置不當泄露信息的安全隱患。至少不會被那些亂掛黑頁的“黑客”隨便鼓搗。如果大家再選擇服務器的時候需要幫忙的話,歡迎給我郵件admin@zzfhw.com。我會免費為大家友情提供幫助的,并提供參考意見。關于服務器的安全配置,我們后面再寫詳細的文章。
再來談做網站的過程。再此之前我們來了解下一些常用的攻擊手段。
1.危險性的上傳漏洞
這個也要分三類:
一類是上傳的地方無任何身份驗證,而且可以直接上傳木馬。
一類是只是注冊一個賬戶就可以上傳的,然后上傳的地方也沒有做好過濾。
一類是管理員后臺的認證上傳的。
當然有的上傳可以直接上傳腳本木馬,有的經過一定的處理后才可以上傳腳本木馬。無論怎樣這是很多攻擊者都是通過上傳拿下網站的權限。
2.注入漏洞
各種腳本的注入漏洞利用方法跟權限都有所差異。危險的可以直接威脅到服務器系統權限。普通的注入可以爆出數據庫里面的賬戶信息。從而得到管理員的密碼或其他有利用的資料。如果權限高點可以直接寫入webshell,讀取服務器的目錄文件,或者直接加管理賬戶,執行替換服務等等攻擊。
3.中轉注入,也叫cookie中轉注入
本來這個要歸于樓上那一類,但是我單自列出來了。有些程序本身或者外加的防注入程序都只是過濾了對參數的post或者get。而忽略了cookie。所以攻擊者只要中轉一下同樣可以達到注入的目的。
4.數據庫寫入木馬
也就是以前可能有些程序員認為mdb的數據庫容易被下載,就換成asp或者asa的。但是沒有想到這么一換,帶來了更大的安全隱患。這兩種格式都可以用迅雷下載到本地的。更可怕的是,攻擊者可以一些途徑提交一句話木馬,插入到數據庫來,然后用工具連接就獲得權限了。
5.數據庫備份
這其實是很多網站后臺的一個功能,本意是讓各位管理員備份數據庫。但是攻擊者通過這個來把自己上傳帶后門的圖片木馬的格式改成真正的木馬格式。從而得到權限。記得之前有個網站系統數據庫備份的那個頁面沒有管理認證,那危害就更大了。有的網站數據庫備份雖然有限制,但是還是被某些特殊情況突破了。比如攻擊者可以備份的格式有,asp,asa,cer,htr,cdx,php,jsp,aspx,ashx,asmx還有幾個iis6.0環境下可利用的.asp;x.jpg.asa;x.jpg.php;x.jpg這類的,很多程序員編寫的asp程序只過濾解析asp的格式,忽略了php等其他的解析。還有就是備份目錄的文件夾名為zzfhw.asp zzfhw.asa這種解析。如果以上的都用不了,攻擊者還可能網站目錄下的conn.asp文件備份成zzfhw.txt來查看數據庫路徑,也許會用的數據庫寫入木馬的手段。當然攻擊的方法是我們列舉不完的。只有通過大家的交流,了解更多。
6.管理賬戶密碼的泄露
也許大家會說上面那一種攻擊手段需要在有管理賬戶的前提下完成。這里我就講下一些常見的管理賬戶密碼的泄露。
第一:萬能密碼'or'='or'。還有其他更多的寫法。這個的原理大家可以在我網站里搜索下。就是把這個當著管理員的賬戶密碼就可以直接進入后臺。現在還有很多網站仍然能進。
第二:弱口令。比如你的密碼是admin/admin888/123456/5201314等。這樣很容易被猜到。
第三:默認密碼。這里分默認的后臺密碼與默認的后臺數據庫。假如攻擊者知道了你網站是哪一套源碼搭建的,就會去下一套相同的源碼來看默認的數據庫是否能下載,后臺密碼是否仍未更改。
第四:站長個人通用密碼。很多人就是在網絡上只用一個密碼。不管是哪個環節你的密碼被泄露,攻擊者可能用這個密碼去測試你的網站后臺,你的郵箱,你的QQ號,你的ftp,你在其他地方注冊的賬戶。。這個問題有點嚴重,涉及到社會工程學這一塊。
7.編輯器
兩大主力編輯器ewebeditor和fckeditor。ewebeditor低版本的確是是存在漏洞,可以構造代碼直接上傳木馬。但是高版本現在市場上的還沒有說有什么漏洞。但是最邪惡的卻是大家用的時候忘記該ewebeditor的后臺密碼和數據庫路徑,從而導致網站被入侵。fckeditor有些修改版的可以直接上傳的木馬。但自從“;”漏洞出現后,入侵者就比較瘋狂了,有的版本傳一次不成功,還要再傳一次就成功了。很多大網站就被牽連。
8.ftp弱口令
上面講過了,有可能你用了通用密碼。還有就是弱口令。比如你的網站是www.tmdps.cn。那么攻擊者可能把zzfhw作為用戶名(事實證明很多虛擬主機都是這樣配置的),然后生成一系列的弱口令,比如zzfhw123/zzfhw123456/zzfhw888/zzfhw520/123456/888888/zzfhw.com/zzfhwftp等等,因為可以用相關的工具來掃描,所有他可以生成很多一般人都用的密碼來試探你的ftp密碼。科學研究證明這個方法危害性也比較大。
9.0day
現在很多人用一些主流的程序。比如動網,discuz論壇,phpwind,動易,新云等等這些用戶量很多源碼,也會時不時的給大家帶來“驚喜”,對于這個大家請多關注站長防黑網最新程序漏洞的文章。盡快為程序打上補丁。
10.旁站。就是拿下與你同一服務器上的其他網站,然后在通過一些xx手段,得到更多的信息。如果權限夠大,直接扔個木馬到你目錄;如果權限一般,扔木馬扔不進去,就讀你管理員密碼,或者其他敏感信息,進一步入侵;如果權限比較差一點,攻擊者會嘗試嗅探。
11.還有一些不能忽略的。暴庫,列目錄,任意下載漏洞,包含文件漏洞,iis寫入漏洞,cookie欺騙,跨站xss等等很多很多。大家有興趣的可以在我的網站搜索了解下這些名詞及方法。
好了,這些基本的方法都說完了,如果遇見高手覺得還沒有說完的,歡迎發我郵箱。我們了解了這些攻擊的手段。然后可以針對各個擊破。確保自己的網站安全。比如常用的后臺是admin.manage.system我們可以改成不常見不會被猜到的,也別再程序上面寫什么后臺登陸的鏈接。選擇程序的時候,通過百度谷歌查看是否有漏洞,是否為最新版。如果你還愛護你的網站,你可以根據上面羅列的一些方法對自己的網站進行測試,防患于未然。不要等到黑頁高高掛起的時候再心疼。
寫在后面的話:個人感覺,現在的網站安全普遍來說比較差,主要是大家意識不夠。我只是一個小站長,不能跟大公司的安全專家比,雖然我不能給大家提出多么多么厲害的技巧,但是只要能減少貴站被入侵的機會,也就ok了。安全是一個過程,不是一個結果。被入侵了,我們要找到原因。希望大家的網站越做越好。如果上面的文章有錯的地方,歡迎來信指正。
總結分析國內外虛擬主機的優缺點
來源:紅軍 時間:2010-04-21 15:17
最近筆者購買了一款國外主機放我的博客,感覺國外主機在有些方面的確比國內的要好,但是也有其身的諸多不足,我以我的切身感受來給大家談下國內外主機的優缺點:
從主機性能方面來說國外主機還是很占優勢的,我給大家列出幾點,具體如下:
1.海外空間容量一般都非常大,比如筆者購買的ipage美國主機,主機空間是1500G,這對于國內的主機來說絕對是個巨無霸了,并且這么大的空間價格也是相當便宜的,我購買的時候是42$.2.數據庫大小以及流量是沒有限制的,你可以無限建數據庫,我就見過國內好多做國外主機這塊的把一臺主機分成幾十個小空間,然后低價出售出去,還是很有的賺的,這個是不是類似于國內的合租?
3.有的國外空間商在你購買主機的時候會免費送你一個頂級域名,比如筆者的ipage主機,還是挺劃算的,想想一個域名也是值點錢的吧。
4.支持隨時退款,如果你購買的主機不是很理想,你也無條件的申請退款,一般2-3天可以把退款打到你的賬戶里
當然,根據馬克思的哲學理論,我們看待事物要客觀,任何事物都有其優點和缺點,購買國外主機也是有很多不足的:
1.主機訪問速度問題:從國內訪問國外主機,與國內有些虛擬主機相比可能速度上的優勢要少一點,筆者購買的主機基本打開網頁需要2-4秒的時間,比國內的秒開是要遜色一點,不過聽說有款國外的主機速度還是很快的,不過我沒有測試過不做評論。
2.售后的問題:對于大部分站長而言,直接用英語與外國人交流還是有一定難度,真正碰到問題的時候卻不能讓對方明白他能幫你什么,有些主機的后臺是全英文的,看起來十分困難,所以對于想購買國外主機的朋友可以選擇那些管理后臺是中文的主機。
3.國外主機還有可能被墻,一般來說只要你不做違規的站點,被墻可能性很小,即使被限制了,你可以申請換個獨立的IP, 還有一點大家要注意的,國外主機對于版權性的東西很敏感,涉及版權類的站點建議不要放在國外,很容易被老外封主機的。
以上就是筆者對于國內外主機的對比,因為使用時間也不長,難免有些地方總結的不是很準確,望能得到大家的批評和指正,謝謝!
本文由www.tmdps.cn的站長流浪的魚首發Admin5,轉載請標明出處。
第五篇:社交網站可行性研究報告
社交網站可行性研究報告引言
1.1 編寫目的:
可行性研究的目的是為了對問題進行研究,以最小的代價在最短的時間內 確定問題是否可解
經過對此項目進行詳細調查研究,初擬系統實現報告,對網站開發中將要
面臨的問題及其解決方案進行初步設計及合理安排。明確開發風險及其所帶來的 經濟效益。本報告經審核后,交軟件經理審查。
1.2 項目背景:
開發網站名稱:
項目任務提出者:
項目開發者:
用戶:中國在校大學生
實現項目單位 項目開發工具:
集成開發環境wamp
網頁整體布局圖 photoshop
界面排版與布局 Dreamweaver
編碼工具Editplus
網站開發工具Adobe Dreamweaver
1.3 參考資料:
《軟件工程導論》,張海藩,清華大學出版社。
《實用軟件工程》,鄭人杰等,清華大學出版社。
《夢想之窗需求分析說明書》
《軟件工程導論》第五版 張海藩 編著 清華大學出版社
《Web程序設計》第二版 吉根林 崔海源 主編 顧韻華 吳軍華 鄭玉 編著 電子工業出版社 《數據庫系統概論》第四版 王珊等編著 高等教育出版社
2 可行性研究的前提
2.1要求
主要功能:為在校大學生提供一個自由交流的平臺
性能要求:學生分享的各類信息及時反映在服務器上及其記錄必須無差錯的存儲在網站的主服務器上。對服務器上的數據必須進行及時正確的刷新。
輸出要求:數據完整,詳實。
輸出要求:簡捷,快速,實時。
安全與保密要求:服務器的管理員享有對會員信息庫及資料信息的管理與修改。會員只享有對本人信息庫的部分修改(寫入與讀出)。
完成期限:待定
2.2目標:
網站實現后,不僅消除了各高校大學生交流之間帶來的不便,而且還讓大學生們在自由交流與分享學習資料及經驗的過程中得到進步。
2.3條件,假定和限制
經費來源:待定
硬件條件:服務器sun 工作站,終端為pc 機。
運行環境:Linux
數據庫:Oracle8
2.4決定可行性的主要因素
成本/效益分析結果,效益〉成本。
技術可行,現有技術可完全承擔開發任務。
操作可行,開發過程能被小組人員快速接受。
3 技術可行性分析
系統簡要描述:
在登錄系統之后,學生們可以再各模塊之間任意瀏覽信息,如新聞模塊,數碼模塊等。也可以上傳、收藏和下載一些學習資料,極大地豐富了大學生的課余生活。
4 經濟可行性分析
4.1支出
待定
4.2效益
未知
4.3收益/投資比
待定
4.4投資回收周期
2-3 年
4.5敏感性分析
處理速度: 一般查詢速度<4 秒
關鍵數據查詢速度: <2 秒用戶使用可行性
開發笨網站人員要求有一定計算機基礎的人員,系統管理員要求由計算機的專業知 識,所有人員都要經過培訓.管理人員也需經一般培訓.經過培訓人員將會熟練使用一些開發軟件.兩名系統管理員,一名審計員將進行專業培訓,他們將熟練管理本本網站
6 其他可供選擇的方案
客戶端與服務器端聯系在一起,但客戶端的功能會有所簡化,如上傳下載一些大文件資料就必須在PC上進行,客戶端只有瀏覽及交流功能。
7 結論意見
如果在技術、經濟、操作都有可行性,可以進行開發。
點擊咨詢 