【正文】 性值每相差一，則影響相差兩倍，以此來(lái)體現(xiàn)最高賦值屬性的主導(dǎo)作用。根據(jù)資產(chǎn)可用性屬性的不同，將它分為5個(gè)不同的等級(jí)，分別對(duì)應(yīng)資產(chǎn)在可用性方面的價(jià)值或者在可用性方面受到損失時(shí)對(duì)資產(chǎn)價(jià)值的影響：賦值含義解釋4Very High可用性?xún)r(jià)值非常關(guān)鍵，具有致命性的潛在影響3High可用性?xún)r(jià)值較高，潛在影響嚴(yán)重，企業(yè)將蒙受?chē)?yán)重?fù)p失，難以彌補(bǔ)2Medium可用性?xún)r(jià)值中等，潛在影響重大，但可以彌補(bǔ)1Low可用性?xún)r(jià)值較低，潛在影響可以忍受，較容易彌補(bǔ)0Negligible可用性?xún)r(jià)值或潛在影響可以忽略l 資產(chǎn)價(jià)值（Asset Value）資產(chǎn)價(jià)值用于反映某個(gè)資產(chǎn)作為一個(gè)整體的價(jià)值，綜合了機(jī)密性、完整性和可用性三個(gè)屬性。通常采用加密函數(shù)和散列函數(shù)來(lái)保證數(shù)據(jù)的完整性。通常是通過(guò)加密技術(shù)（cryptography）來(lái)實(shí)現(xiàn)保密性。安全屬性的不同通常也意味著安全控制、保護(hù)功能求的不同。內(nèi)部Internal公司內(nèi)部員工或文檔所屬部門(mén)使用，或文檔涉及的公司使用（例如合同等）秘密Private由和數(shù)據(jù)局網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施顧問(wèn)服務(wù)項(xiàng)目相關(guān)的公司和數(shù)據(jù)局成員使用機(jī)密Confidential只有在文檔中指定的人員可使用，文檔的保管要在規(guī)定的時(shí)間內(nèi)受到控制絕密Secret非文檔的擬訂者或文檔的所有者及管理者，其他指定人員在使用文檔后迅速的按銷(xiāo)毀但是，這樣的分類(lèi)并不能反映在數(shù)據(jù)資產(chǎn)的全部安全屬性，所以在本次安全服務(wù)項(xiàng)目中，將采取對(duì)數(shù)據(jù)類(lèi)資產(chǎn)直接賦值的方法來(lái)進(jìn)行。例如，公司的財(cái)務(wù)信息和薪酬數(shù)據(jù)就是屬于高度機(jī)密性的數(shù)據(jù)。安全服務(wù) SEC 為保護(hù)自身和其它信息資產(chǎn)而建立的保護(hù)措施，例如防火墻訪問(wèn)控制服務(wù)、入侵檢測(cè)服務(wù)、認(rèn)證、審計(jì)、顧問(wèn)等。Domino服務(wù)DominoLotus Domino Notes系統(tǒng)是一種群件應(yīng)用，它綜合了數(shù)據(jù)庫(kù)、各種應(yīng)用于一身，專(zhuān)門(mén)分類(lèi)，包括Domino郵件服務(wù)、Domino WWW服務(wù)、Domino名字服務(wù)、以及在Domino之上開(kāi)發(fā)的其它安全服務(wù)。例如，著名安全軟件TCPWrapper作者的站點(diǎn)被入侵，軟件被植入木馬程序后被廣泛下載使用，造成非常重大的影響和損失。但是，對(duì)于某些服務(wù)資產(chǎn)，完整性和機(jī)密性也可能成為重要的保護(hù)對(duì)象。 資產(chǎn)分類(lèi)參照BS7799對(duì)信息資產(chǎn)的描述和定義，將信息相關(guān)資產(chǎn)按照下面的分類(lèi)方法：類(lèi)別簡(jiǎn)稱(chēng)解釋/示例服務(wù)ServiceWWW、SMTP、POPFTP、MRPII、DNS、呼叫中心、內(nèi)部文件服務(wù)、內(nèi)部BBS、網(wǎng)絡(luò)連接等數(shù)據(jù)（電子媒介）Data源代碼、各種數(shù)據(jù)資料、運(yùn)行管理規(guī)程、計(jì)劃、報(bào)告、用戶(hù)手冊(cè)等軟件Software應(yīng)用軟件、系統(tǒng)軟件、開(kāi)發(fā)工具和資源庫(kù)等硬件Hardware計(jì)算機(jī)硬件、路由器、交換機(jī)、程控交換機(jī)、布線等文檔（紙質(zhì)）Document文件、傳真、電報(bào)、財(cái)務(wù)報(bào)告、發(fā)展計(jì)劃設(shè)備Facility電源、空調(diào)、食品柜、文件柜等人員HR各級(jí)雇員和雇主、合同方雇員其它Other企業(yè)形象，客戶(hù)關(guān)系等下面重點(diǎn)描述服務(wù)、數(shù)據(jù)和軟件等三種與網(wǎng)絡(luò)安全最為直接相關(guān)的信息資產(chǎn)類(lèi)別。例如，某公司重要的市場(chǎng)活動(dòng)策劃方案（數(shù)據(jù)資產(chǎn)），在活動(dòng)開(kāi)始之前，為達(dá)成市場(chǎng)目標(biāo)，要對(duì)該數(shù)據(jù)資產(chǎn)進(jìn)行機(jī)密性、完整性和可用性方面的保護(hù)。它可能是以多種形式存在，有無(wú)形的、有有形的，有硬件、有軟件，有文檔、代碼，也有服務(wù)、企業(yè)形象等。 《設(shè)備調(diào)查表》 216。 數(shù)據(jù)庫(kù)存系統(tǒng)調(diào)查216。 硬件和網(wǎng)絡(luò)系統(tǒng)調(diào)查216。 訪問(wèn)控制 216。 資產(chǎn)分類(lèi)和管理216。 調(diào)查方式采用非現(xiàn)場(chǎng)問(wèn)卷調(diào)查方式和現(xiàn)場(chǎng)勘查相結(jié)合的方式進(jìn)行。其中包括網(wǎng)絡(luò)設(shè)備的配置情況、使用情況、維護(hù)情況、用戶(hù)情況、遠(yuǎn)程控制情況、服務(wù)開(kāi)啟情況、管理控制情況、路由情況、訪問(wèn)控制列表情況以及交換機(jī)的端口配置情況等信息。安全評(píng)估服務(wù)將針對(duì)用戶(hù)環(huán)境中的網(wǎng)絡(luò)系統(tǒng)、服務(wù)器系統(tǒng)、應(yīng)用系統(tǒng)以及數(shù)據(jù)系統(tǒng)等進(jìn)行安全審計(jì)和操作、修復(fù)工作，因此用戶(hù)求調(diào)查也針對(duì)這些方面進(jìn)行。在國(guó)際標(biāo)準(zhǔn)ISO15408中，安全模型如下圖所示，其特點(diǎn)是強(qiáng)調(diào)了模型的對(duì)抗性和動(dòng)態(tài)性。經(jīng)過(guò)精細(xì)的資產(chǎn)評(píng)估和風(fēng)險(xiǎn)評(píng)估，企業(yè)就可以在投資提升安全降低風(fēng)險(xiǎn)、承受風(fēng)險(xiǎn)、轉(zhuǎn)移風(fēng)險(xiǎn)等做出正確的選擇。如圖所示。風(fēng)險(xiǎn)管理既是為了發(fā)現(xiàn)商業(yè)機(jī)會(huì)，同樣也是為了避免或減輕損失。提高團(tuán)隊(duì)審計(jì)效率。 服務(wù)獨(dú)立，全面的團(tuán)隊(duì)審計(jì)支持作為服務(wù)器運(yùn)行。分析代碼邏輯和架構(gòu)特有的安全風(fēng)險(xiǎn)，并最后定義規(guī)則精確查找這些風(fēng)險(xiǎn)。 審計(jì)性能10萬(wàn)行代碼審計(jì)時(shí)間在10~30分鐘不等，視代碼復(fù)雜度和硬件配置而不同。而不是給用戶(hù)一個(gè)黑匣子，用戶(hù)無(wú)法了解工具的細(xì)節(jié)和缺陷，無(wú)法在代碼審計(jì)過(guò)程中規(guī)避工具的風(fēng)險(xiǎn)（比如漏報(bào)和誤報(bào)），比如利用人工或者其它手段查找工具不能定位的問(wèn)題。 安全漏洞覆蓋面廣且全面 (低漏報(bào))數(shù)以百計(jì)的安全漏洞檢查適合任于何組織，支持最新的OWASP 、CWE、SANS、PCI、SOX等國(guó)際權(quán)威組織對(duì)軟件安全漏洞的定義。因?yàn)樵摲?wù)只要提供源代碼即可審計(jì)，并給出精確的審計(jì)結(jié)果。 編譯器獨(dú)立、開(kāi)發(fā)環(huán)境獨(dú)立，搭建測(cè)試環(huán)境簡(jiǎn)單快速且統(tǒng)一由于采用了獨(dú)特的虛擬編譯器技術(shù)，代碼審計(jì)不要依賴(lài)編譯器和開(kāi)發(fā)環(huán)境，無(wú)為每種開(kāi)發(fā)語(yǔ)言的代碼安裝編譯器和測(cè)試環(huán)境，只要通過(guò)客戶(hù)端、瀏覽器、開(kāi)發(fā)環(huán)境服務(wù)插件登錄到管理應(yīng)用 Application服務(wù)器，提供本地代碼審計(jì)代碼的目錄、遠(yuǎn)程代碼目錄、和版本管理代碼目錄（Subversion、CVS，ClearCase即可，審計(jì)代碼無(wú)通過(guò)編譯過(guò)程。至今，改代碼審計(jì)產(chǎn)品的客戶(hù)量數(shù)目龐大，其中包括涉及電信、金融銀行、保險(xiǎn)、汽車(chē)、媒體娛樂(lè)、軟件、服務(wù)和軍事等行業(yè)的財(cái)富1000的企業(yè)。 代碼審計(jì)產(chǎn)品簡(jiǎn)介選用的靜態(tài)源代碼安全漏洞審計(jì)和管理方案是業(yè)界最全面的、綜合的源代碼安全審計(jì)和管理方案，該方案提供用戶(hù)、角色和團(tuán)隊(duì)管理、權(quán)限管理、審計(jì)結(jié)果管理、審計(jì)調(diào)度和自動(dòng)化管理、審計(jì)資源管理、查詢(xún)規(guī)則管理、審計(jì)策略管理、更新管理、報(bào)表管理等多種企業(yè)環(huán)境下實(shí)施源代碼安全審計(jì)和管理功能。因此目前許多靜態(tài)工具只是把感染的路徑找到，但不計(jì)算和不作比較，要借助人工去分辨所有可能的情況，這就是誤報(bào)率非常高的原因。在靜態(tài)源代碼審計(jì)技術(shù)上，現(xiàn)在被普遍應(yīng)用的是第一代和第二代技術(shù)。 代碼審計(jì)原理靜態(tài)源代碼審計(jì)是近年被人提及較多的軟件應(yīng)用安全解決方案之一。滲透測(cè)試報(bào)告應(yīng)包含如下內(nèi)容：滲透結(jié)論包括目標(biāo)系統(tǒng)的安全狀況、存在的問(wèn)題、滲透測(cè)試的結(jié)果等滲透測(cè)試項(xiàng)目的介紹包括項(xiàng)目情況、時(shí)間、參與人員、操作地點(diǎn)等滲透測(cè)試過(guò)程包括滲透測(cè)試的各個(gè)實(shí)施階段中的方法、工具、技術(shù)及其操作細(xì)節(jié)等滲透測(cè)試的證據(jù)滲透測(cè)試的一些過(guò)程及證明文件解決方案針對(duì)滲透測(cè)試中發(fā)現(xiàn)的問(wèn)題給出對(duì)應(yīng)的解決辦法和建議附錄部分滲透測(cè)試中的一些其它相關(guān)內(nèi)容，如異常事件的記錄和處理等 代碼審計(jì)服務(wù)解決方案依據(jù)集團(tuán)公司、的具體安全規(guī)范和，在業(yè)務(wù)支撐系統(tǒng)規(guī)劃、開(kāi)發(fā)、建設(shè)、運(yùn)行和退出服務(wù)五個(gè)環(huán)節(jié)全生命周期中加強(qiáng)安全加固和安全管控，以安全控制流程為切入口，逐步建立持續(xù)改進(jìn)的工作機(jī)制。3)2)全程監(jiān)控：優(yōu)點(diǎn)是全過(guò)程都能完整記錄。 測(cè)試方自控戶(hù)方同意之后才可繼續(xù)進(jìn)行。 系統(tǒng)恢復(fù) 系統(tǒng)備份2)1) 攻擊策略集選擇接下來(lái)，盡最大努力獲取本地權(quán)限，收集本地資料信息，尋求本地權(quán)限升級(jí)的機(jī)會(huì)。代理程序收到指令時(shí)就發(fā)動(dòng)攻擊。 Cookie利用網(wǎng)站應(yīng)用系統(tǒng)常使用cookies 機(jī)制在客戶(hù)端主機(jī)上保存某些信息，例如用戶(hù)ID、口令、時(shí)戳等。 檢查身份認(rèn)證模塊，用以防止非法用戶(hù)繞過(guò)身份認(rèn)證；216。利用腳本相關(guān)弱點(diǎn)輕則可以獲取系統(tǒng)其他目錄的訪問(wèn)權(quán)限，重則將有可能取得系統(tǒng)的控制權(quán)限。惡意用戶(hù)通過(guò)操作隱藏字段內(nèi)容達(dá)到惡意交易和竊取信息等行為，是一種非常危險(xiǎn)的漏洞。一般情況下，如果未授權(quán)，將不會(huì)進(jìn)行此項(xiàng)測(cè)試！ SQL注入攻擊SQL注入常見(jiàn)于應(yīng)用了SQL 數(shù)據(jù)庫(kù)后端的網(wǎng)站服務(wù)器，入侵者通過(guò)提交某些特殊SQL語(yǔ)句，最終可能獲取、篡改、控制網(wǎng)站服務(wù)器端數(shù)據(jù)庫(kù)中的內(nèi)容。 不同網(wǎng)段間的滲透 這種滲透方式是從某內(nèi)/外部網(wǎng)段，嘗試對(duì)另一網(wǎng)段/Vlan進(jìn)行滲透。 審查代碼中的 SQL 注入漏洞；216。緩沖區(qū)溢出攻擊尤其是各個(gè)系統(tǒng)或者是安全服務(wù)的一些默認(rèn)賬號(hào)口令和弱口令賬號(hào)。p 后門(mén)程序檢查系統(tǒng)開(kāi)發(fā)過(guò)程中遺留的后門(mén)和安全服務(wù)選項(xiàng)可能被入侵者所利用，導(dǎo)致入侵者輕易地從捷徑實(shí)施攻擊。通過(guò)對(duì)網(wǎng)絡(luò)信息收集分析，可以相應(yīng)地、有針對(duì)性地制定模擬黑客入侵攻擊的計(jì)劃，以提高入侵的成功率、減小暴露或被發(fā)現(xiàn)的幾率。178。滲透測(cè)試實(shí)際就是一個(gè)模擬黑客攻擊的過(guò)程，因此其的實(shí)施過(guò)程也類(lèi)似于一次完整的黑客攻擊過(guò)程，我們將其劃分為了如下幾個(gè)階段： 滲透測(cè)試流程和授權(quán) 滲透測(cè)試流程 滲透測(cè)試授權(quán)測(cè)試授權(quán)是進(jìn)行滲透測(cè)試的必要條件。正因?yàn)槿绱?，如果換作是一個(gè)對(duì)企業(yè)組織的相關(guān)情況更為了解的內(nèi)部人員來(lái)說(shuō)，結(jié)合滲透測(cè)試中所暴露出來(lái)的某些問(wèn)題，他能更有效和更全面的發(fā)現(xiàn)組織和企業(yè)中一些安全風(fēng)險(xiǎn)及問(wèn)題。 滲透測(cè)試的安全意義 滲透測(cè)試特點(diǎn)入侵者的攻擊入侵要利用目標(biāo)網(wǎng)絡(luò)的安全弱點(diǎn)，滲透測(cè)試也是同樣的道理。模擬入侵者的攻擊方法對(duì)應(yīng)用系統(tǒng)、服務(wù)器系統(tǒng)和網(wǎng)絡(luò)設(shè)備進(jìn)行非破壞性質(zhì)的攻擊性測(cè)試。滲透測(cè)試：主要通過(guò)對(duì)目標(biāo)系統(tǒng)信息的全面收集、對(duì)系統(tǒng)中網(wǎng)路設(shè)備的探測(cè)、對(duì)服務(wù)器系統(tǒng)主機(jī)的漏洞掃描、對(duì)應(yīng)用平臺(tái)及數(shù)據(jù)庫(kù)系統(tǒng)的安全性?huà)呙杓巴ㄟ^(guò)應(yīng)用系統(tǒng)程序的安全性滲透測(cè)試等手段來(lái)完成對(duì)整個(gè)系統(tǒng)的安全性滲透檢測(cè)。對(duì)服務(wù)系統(tǒng)提供周期性的安全評(píng)估服務(wù)。年安全技術(shù)服務(wù)技術(shù)建議書(shū)二○一五年十二月 目 錄1. 項(xiàng)目概況簡(jiǎn)述 1 項(xiàng)目原則 12. 項(xiàng)目解決方案 1 滲透測(cè)試解決方案 2 代碼審計(jì)服務(wù)解決方案 13 基礎(chǔ)設(shè)備安全評(píng)估解決方案 20 應(yīng)急響應(yīng)和演練解決方案 50 APP安全評(píng)估解決方案 53 安全加固整改建議解決方案 60 新業(yè)務(wù)上線安全檢查解決方案 67 安全培訓(xùn)解決方案 673. 項(xiàng)目實(shí)施方案 70 項(xiàng)目組成員 70 項(xiàng)目分工界面 73 工作量的計(jì)算方法及依據(jù) 78 項(xiàng)目進(jìn)度 78 項(xiàng)目質(zhì)量保證措施 804. 項(xiàng)目售后服務(wù) 865. 安全工具簡(jiǎn)述 86 滲透測(cè)試工具 86 代碼審計(jì)工具 94106 / 1081. 項(xiàng)目概況簡(jiǎn)述1 項(xiàng)目原則安全服務(wù)的方案設(shè)計(jì)與具體實(shí)施滿(mǎn)足以下原則：（1） 保密原則：對(duì)服務(wù)的過(guò)程數(shù)據(jù)和結(jié)果數(shù)據(jù)嚴(yán)格保密，未經(jīng)授權(quán)不得泄露給任何單位和個(gè)人，不得利用此數(shù)據(jù)進(jìn)行任何侵害求方網(wǎng)絡(luò)的行為，否則求方有權(quán)追究的責(zé)任。主要包括安全管理咨詢(xún)服務(wù)和安全技術(shù)評(píng)估服務(wù)。2 滲透測(cè)試解決方案 滲透測(cè)試簡(jiǎn)介 滲透測(cè)試概念滲透測(cè)試（Penetration Test）, 是完全模擬黑客可能使用的攻擊技術(shù)和漏洞發(fā)現(xiàn)技術(shù)，對(duì)目標(biāo)系統(tǒng)的安全做深入的探測(cè)，發(fā)現(xiàn)系統(tǒng)最脆弱的環(huán)節(jié)。 Exposures公共漏洞和暴露）已經(jīng)發(fā)現(xiàn)的安全漏洞，以及隱患漏洞。工具掃描具有很好的效率和速度，但是存在一定的誤報(bào)率，不能發(fā)現(xiàn)高層次、復(fù)雜的安全問(wèn)題；滲透測(cè)試對(duì)測(cè)試者的專(zhuān)業(yè)技能很高（滲透測(cè)試報(bào)告的價(jià)值直接依賴(lài)于測(cè)試者的專(zhuān)業(yè)技能），但是非常準(zhǔn)確，可以發(fā)現(xiàn)邏輯性更強(qiáng)、更深層次的弱點(diǎn)。在滲透測(cè)試結(jié)束后，客戶(hù)信息系統(tǒng)將基本保持一致。一次滲透測(cè)試過(guò)程也就是一次黑客入侵實(shí)例，其中所利用到的攻擊滲透方法，也是其它具備相關(guān)技能的攻擊者所最可能利用到的方法；由滲透測(cè)試結(jié)果所暴露出來(lái)的問(wèn)題，往往也是一個(gè)企業(yè)或組織中的安全最短木板，結(jié)合這些暴露出來(lái)的弱點(diǎn)和問(wèn)題，可以協(xié)助企業(yè)有效的了解目前降低風(fēng)險(xiǎn)的最迫切任務(wù)，使在網(wǎng)絡(luò)安全方面的有限投入可以得到最大的回報(bào)。組織管理者以案例的形式向相關(guān)人員直觀展示目前企業(yè)或組織的安全現(xiàn)狀，從而增強(qiáng)員工對(duì)信息安全的認(rèn)知程度，提高相關(guān)人員的安全意識(shí)及素養(yǎng)，甚至提高組織在安全方面的預(yù)算。工具掃描具有很好的效率和速度，但是存在一定的誤報(bào)率和漏報(bào)率，并且不能發(fā)現(xiàn)高層次、復(fù)雜、并且相互關(guān)聯(lián)的安全問(wèn)題；滲透測(cè)試的價(jià)值直接依賴(lài)于實(shí)施者的專(zhuān)業(yè)技能和素養(yǎng)但是非常準(zhǔn)確，可以發(fā)現(xiàn)系統(tǒng)和組織里邏輯性更強(qiáng)、更深層次的弱點(diǎn)。往往來(lái)說(shuō)，滲透測(cè)試的實(shí)施人員并不能完全掌握組織或企業(yè)的全部安全現(xiàn)狀及信息，的滲透測(cè)試行為及方法都是局限于自己所掌握的已有信息，因此暴露出來(lái)的問(wèn)題也是有限的（比如說(shuō)，有些問(wèn)題單純從技術(shù)上來(lái)說(shuō)利用價(jià)值不大，但若是結(jié)合一些管理上的缺陷或者是本身具有的某些其它便利，往往可以導(dǎo)致嚴(yán)重風(fēng)險(xiǎn)）。信息安全是一個(gè)整體項(xiàng)目，一個(gè)完整和成功的滲透測(cè)試案例可能會(huì)涉及系統(tǒng)或組織中的多個(gè)部門(mén)、人員或?qū)ο?，有助于組織中的所有成員意識(shí)到自己所在崗位對(duì)系統(tǒng)整體安全的影響，進(jìn)而采取措施降低因?yàn)樽陨淼脑蛟斐傻娘L(fēng)險(xiǎn)，有助于內(nèi)部安全的提升。預(yù)攻擊階段（尋找滲透突破口）178。主要包括網(wǎng)絡(luò)信息，如網(wǎng)絡(luò)拓補(bǔ)、IP及域名分布、網(wǎng)絡(luò)狀態(tài)等服務(wù)器信息，如OS信息、端口及服務(wù)信息、應(yīng)用系統(tǒng)情況等漏洞信息，如跟蹤最新漏洞發(fā)布、漏洞的利用方法等 信息收集信息收集分析幾乎是所有入侵攻擊的前提/前奏/基礎(chǔ)。通過(guò)端口掃描，可以基本確定一個(gè)系統(tǒng)的基本信息，結(jié)合測(cè)試人員的經(jīng)驗(yàn)可以確定其可能存在，以及被利用的安全弱點(diǎn)，為進(jìn)行深層次的滲透提供依據(jù)。在這一階段，主要會(huì)用到以下技術(shù)或工具：有用的賬號(hào)口令除了系統(tǒng)賬號(hào)如UNIX賬號(hào)、Windows賬號(hào)外，還包括一些數(shù)據(jù)庫(kù)賬號(hào)、WWW賬號(hào)、FTP賬號(hào)、MAIL賬號(hào)、SNMP賬號(hào)、CVS賬號(hào)以及一些其它應(yīng)用或者服務(wù)的賬號(hào)口令。p 審查代碼中的XSS腳本漏洞；216。 其他軟件編寫(xiě)錯(cuò)誤及漏洞的尋找及審查。 溢出測(cè)試當(dāng)測(cè)試人員無(wú)法直接利用帳戶(hù)口令登陸系統(tǒng)時(shí)，也會(huì)采用系統(tǒng)溢出的方法直接獲得系統(tǒng)控制權(quán)限，此方法有時(shí)會(huì)導(dǎo)致系統(tǒng)死機(jī)或從新啟動(dòng)，但不會(huì)導(dǎo)致系統(tǒng)數(shù)據(jù)丟失，如出現(xiàn)死機(jī)等故障，只要將系統(tǒng)從新啟動(dòng)并開(kāi)啟原有服務(wù)即可。許多基于網(wǎng)站的電子商務(wù)應(yīng)用程序用隱藏字段來(lái)存儲(chǔ)商