網(wǎng)頁設(shè)計中的安全缺陷及對策分析,網(wǎng)頁設(shè)計論文

網(wǎng)頁設(shè)計中的安全缺陷及對策分析,網(wǎng)頁設(shè)計論文內(nèi)容摘要：隨著互聯(lián)網(wǎng)的發(fā)展,互聯(lián)網(wǎng)+時代的到來,網(wǎng)站更能快速且直觀具體表現(xiàn)出企業(yè)的文化和變化。在網(wǎng)站建設(shè)中,網(wǎng)頁設(shè)計工作是重要內(nèi)容。同樣的,網(wǎng)絡(luò)上不懷好意的網(wǎng)絡(luò)攻擊和黑客也迅速的出現(xiàn),網(wǎng)頁設(shè)計中的安全缺陷及對策分析更顯重要。本文關(guān)鍵詞語：網(wǎng)頁設(shè)計安全;缺陷;對策;SecurityDefectsandAnalysisofWebDesigninWebsiteConstructionMARong-pingBohaiShipbuildingVocationalCollegeAbstract：WiththedevelopmentoftheInternetandthearrivaloftheInternet+era,thewebsitecanmorequicklyandintuitivelyreflectthecultureandchangesoftheenterprise.Intheconstructionofthewebsite,thewebdesignworkisanimportantcontent.Similarly,ill-intentionedcyberattacksandhackersontheInternethavealsoemergedrapidly,sosecurityflawsandcountermeasuresanalysisinwebdesignaremoreimportant.Keyword：webdesignsecurity;defects;countermeasures;0引言至1998年3月,中國第一筆互聯(lián)網(wǎng)網(wǎng)上交易的成功,隨著科技日新月異的發(fā)展,網(wǎng)絡(luò)技術(shù)也在不斷的飛速發(fā)展和更新。在這樣的大環(huán)境下,同樣也促進了我們國家電子商務(wù)技術(shù)的迅猛發(fā)展。現(xiàn)今,電子商務(wù)技術(shù)已經(jīng)不再只是為互聯(lián)網(wǎng)在線企業(yè)服務(wù)。更多的傳統(tǒng)企業(yè)都開場關(guān)注到電子商務(wù)領(lǐng)域,使得現(xiàn)今的電子商務(wù)平臺愈加豐富多彩。商務(wù)網(wǎng)站是通過手機、平板、筆記本等電子設(shè)備,用網(wǎng)頁、APP等不同的形式來展示企業(yè)的特點和形象。通過商務(wù)網(wǎng)站,能夠幫助加深用戶對企業(yè)的全方位了解,促進貿(mào)易合作的達成。在這里,網(wǎng)頁設(shè)計則是網(wǎng)站建設(shè)的關(guān)鍵工作。同時,網(wǎng)絡(luò)上不懷好意的網(wǎng)絡(luò)攻擊和黑客也迅速的出現(xiàn),把握和了解在網(wǎng)頁設(shè)計經(jīng)過中會出現(xiàn)的安全缺陷,同時分析和了解解決缺陷的方式方法顯得愈加重要。1在網(wǎng)頁設(shè)計經(jīng)過中常見的安全隱患隨著新型互聯(lián)網(wǎng)產(chǎn)品的誕生,基于網(wǎng)頁環(huán)境的互聯(lián)網(wǎng)應(yīng)用也越來越廣泛,企業(yè)信息化的經(jīng)過中各種各樣的應(yīng)用都會放在網(wǎng)頁平臺上來實現(xiàn),網(wǎng)頁業(yè)務(wù)迅猛發(fā)展同樣也引起了黑客們的強烈關(guān)注,因而網(wǎng)頁安全威脅也凸顯出來,攻擊者能夠利用Windows等操作系統(tǒng)本身的漏洞,或者是利用網(wǎng)頁服務(wù)程序中人機交互時的SQL注入漏洞等安全缺陷獲得網(wǎng)頁所在服務(wù)器的控制權(quán)限,把握了控制權(quán)限之后,攻擊者就能夠篡改網(wǎng)頁的原始內(nèi)容和數(shù)據(jù),同時能夠復(fù)制網(wǎng)頁的內(nèi)部數(shù)據(jù)。與此同時,攻擊者更能夠在網(wǎng)頁中加載木馬等惡意代碼,使得被攻擊的網(wǎng)站成為惡意代碼的傳播者。在網(wǎng)站建設(shè)中除了要實現(xiàn)網(wǎng)站的基本功能之外,設(shè)計者還需要考慮到網(wǎng)站的安全性。近期幾年,很多網(wǎng)站都曾被黑客攻擊過。在網(wǎng)站安全性引起重視的時候,黑客的技術(shù)也在不斷的提高,十分是利用ASP程序制作的網(wǎng)站,一些網(wǎng)站訪問起來很正常,可是查看網(wǎng)站源代碼時,就會發(fā)現(xiàn)底部有很多不明含義的隱藏內(nèi)容。那么,網(wǎng)頁設(shè)計中都有哪些常見的安全缺陷。2網(wǎng)頁設(shè)計中常見的安全缺陷2.1登錄驗證漏洞(1)登錄驗證漏洞指的是攻擊者繞過登錄時的驗證系統(tǒng)直接進入到其他頁面的漏洞。例如有些網(wǎng)站的頁面沒有做用戶登錄驗證系統(tǒng)功能設(shè)計。那么,攻擊者在收集到網(wǎng)站的頁面完好途徑和文件名后,在閱讀器的地址欄中直接輸入完好URL途徑,就能夠不進行驗證而進入指定頁面。(2)登錄驗證漏洞的另一種是登錄驗證頁面漏洞。多數(shù)網(wǎng)站都有登錄頁面,要求用戶輸入正確的用戶名和密碼后才能夠進入頁面,而驗證系統(tǒng)都是通過斷定用戶輸入的用戶名和密碼能否存在于數(shù)據(jù)庫中來進行。但是,假如程序設(shè)計的不夠嚴謹,則會出現(xiàn)這種漏洞。2.2SQL注入漏洞在網(wǎng)頁設(shè)計中,多數(shù)人機交互操作都是利用表單來實現(xiàn)的,假如在設(shè)計經(jīng)過中沒有對用戶輸入數(shù)據(jù)的正當(dāng)性進行斷定的話,攻擊者能夠在文本框中提交一段SQL查詢代碼,根據(jù)程序返回的結(jié)果,獲得某些他想得知的數(shù)據(jù),這就是SQL注入。2.3文件上傳的漏洞文件上傳漏洞指的是網(wǎng)絡(luò)攻擊者上傳了一個可執(zhí)行的惡意代碼到服務(wù)器并被執(zhí)行。在我們平常常用的很多網(wǎng)站中,例如電子郵件網(wǎng)站、論壇等很多網(wǎng)站中,都允許用戶上傳文件、圖片、視頻等內(nèi)容到網(wǎng)站服務(wù)器中。假如網(wǎng)站的開發(fā)人員沒有做好身份的認證和數(shù)據(jù)的過濾排查,很有可能被黑客利用。黑客能夠利用如Telnet服務(wù)等功能對網(wǎng)站內(nèi)容和數(shù)據(jù)進行修改和毀壞。這里上傳的惡意文件能夠是木馬程序、病毒,Webshell或者惡意腳本等。這種攻擊方式直接、簡單又有效。2.4網(wǎng)站缺乏受權(quán)[1]有些網(wǎng)站在進行網(wǎng)頁編程設(shè)計時,程序設(shè)計人員往往會使用比擬繁瑣的網(wǎng)絡(luò)安全配置,使得網(wǎng)站往往缺乏受權(quán),這就造成了網(wǎng)絡(luò)服務(wù)在其應(yīng)用運行中出現(xiàn)非常宏大的網(wǎng)絡(luò)運行安全缺陷。利用這些安全缺陷,網(wǎng)絡(luò)黑客們能夠很容易地對網(wǎng)站的網(wǎng)絡(luò)服務(wù)器進行遠程的入侵和毀壞,給網(wǎng)站的安全和企業(yè)的經(jīng)濟利益帶來了宏大的威脅和危害。再加上軟件設(shè)置的密碼簡單或是網(wǎng)絡(luò)入口的防火墻性能設(shè)置過低等安全缺陷,可以以讓網(wǎng)絡(luò)黑客和網(wǎng)絡(luò)病毒能夠非常容易的對網(wǎng)站造成侵入和毀壞。2.5網(wǎng)頁病毒的傳播網(wǎng)頁病毒是現(xiàn)今最常見的安全攻擊。病毒具有寄生性、傳染性、可觸發(fā)性等特點。這些計算機病毒都是攻擊者事先設(shè)計好的可執(zhí)行文件。例如在網(wǎng)頁文件中嵌入Script語言編寫的惡意代碼,這種Script代碼能夠利用閱讀器的漏洞來實現(xiàn)病毒植入。當(dāng)用戶登錄這些網(wǎng)站時,編寫好的Script代碼會被執(zhí)行,網(wǎng)頁病毒一旦被觸發(fā),就能夠?qū)W(wǎng)頁服務(wù)器資源進行篡改。例如,我們在上網(wǎng)時經(jīng)常會發(fā)現(xiàn)打開某個頁面后,360安全衛(wèi)士會提醒有程序正在修改閱讀器首頁。這就是網(wǎng)頁病毒的一種現(xiàn)象。病毒和木馬程序也有可能會關(guān)閉網(wǎng)頁中的部分功能,使得用戶無法正常使用網(wǎng)站系統(tǒng)等。最簡單的方式就是網(wǎng)頁自動跳轉(zhuǎn)程序,而這種網(wǎng)頁病毒編寫起來比擬容易,而且攻擊也很直接。3常見網(wǎng)頁設(shè)計安全缺陷解決對策3.1解決登錄驗證安全缺陷[2]很多網(wǎng)站在進行用戶登錄時,多會使用人機交互界面完成登錄驗證。而網(wǎng)站的設(shè)計者對驗證程序沒有做到全面的考慮,這樣很容易產(chǎn)生登錄驗證安全缺陷,造成ScriptLanguage編寫程序在對用戶賬號密碼進行驗證工作時出現(xiàn)問題。針對登錄驗證安全缺陷這個問題,能夠通過下面的方式方法解決:首先在注冊用戶名和密碼時添加注冊限制,對于非法的用戶名和密碼不準申請;其次,在利用SQL語句進行登錄查詢時,我們能夠先過濾用戶輸入的信息,在一定程度上防止非法賬號及密碼的應(yīng)用;接下來,在進行用戶驗證時,不急于對用戶名和密碼同時進行匹配,而是先對用戶名進行驗證,等用戶名匹配成功之后,再進行密碼的驗證工作。這樣能夠減少查詢時間,提高查詢效率。3.2SQL注入漏洞的預(yù)防SQL語言是網(wǎng)站設(shè)計中必不可少的后臺數(shù)據(jù)庫語言。在SQL語言中有一些特殊字符如*等,這些特殊字符是為了完成模糊匹配的?？捎行┚W(wǎng)站設(shè)計人員在網(wǎng)站設(shè)計初始,沒有考慮到SQL語言的書寫規(guī)范和特殊字符的應(yīng)用,產(chǎn)生SQL注入漏洞,導(dǎo)致攻擊者通過表單提交中的全局變量GET和POST把SQL語句提交并執(zhí)行。針對于這一問題,詳細的解決方式方法包括:能夠打開配置文件中的magic_quotes_gpc和magic_quotes_runtime的設(shè)置;設(shè)置register_globals為off;關(guān)閉全局變量注冊;最后,在給數(shù)據(jù)庫和數(shù)據(jù)表字段進行命名時,十分是一些重要字段命名時,不要取一些很容易被猜到的名字。例如姓名字段最好不要命名為name字段。3.3文件上傳漏洞的解決方案文件上傳漏洞產(chǎn)生的原因主要是攻擊者通過網(wǎng)站上提供的上傳文件功能,把一些惡意的可執(zhí)行文件上傳至服務(wù)器,并通過它獲得對服務(wù)器的控制權(quán)。能夠通過下面幾個方面來解決文件上傳漏洞:首先把文件上傳的目錄設(shè)置為不可執(zhí)行,這樣一來,此目錄只能存放文件,不能做其它操作;其次,文件類型的判定。要對上傳的文件進行判定,可執(zhí)行文件等特殊類型的文件不能夠上傳保存;最后,使用隨機數(shù)改寫文件名和文件途徑;單獨設(shè)置文件服務(wù)器的域名。3.4Web安全加固[3]針對網(wǎng)頁篡改的攻擊方式方法多種多樣。假如想要網(wǎng)頁不被篡改,最直接的方式方法就是在設(shè)計網(wǎng)頁時采取一定的措施來避免被篡改的網(wǎng)頁從服務(wù)器中流出去。同時,加固網(wǎng)頁使其不容易被修改。前者我們能夠使用硬件的方式來實現(xiàn)。而后者,我們能夠通過網(wǎng)頁設(shè)計和應(yīng)用程序來實現(xiàn)。到當(dāng)前為止兩種防護功能的互相整合程度還不是很高。在現(xiàn)今不斷發(fā)展的信息技術(shù)時代,網(wǎng)絡(luò)無處不在,我們的很多信息都是通過網(wǎng)站獲得,所以網(wǎng)站技術(shù)就成了一項很重要的內(nèi)容。網(wǎng)頁設(shè)計中經(jīng)常使用的服務(wù)器端設(shè)計程序主要包括ActiveServerPage、HypertextPreprocessor、JavaServerPages等腳本語言,正是這些腳本語言為網(wǎng)站開發(fā)提供了平臺。利用ASP、PHP、JSP等腳本語言搭建的網(wǎng)站后臺程序,不管是程序開發(fā)階段,還是程序后期維護階段,對于設(shè)計開發(fā)人員來講都非常的高效、便捷,而且實現(xiàn)起來也是比擬容易的。一個功能健全而使用安全的網(wǎng)站所牽涉到的程序內(nèi)容有很多,又因網(wǎng)頁設(shè)計的特殊性,使得利用表單等功能實現(xiàn)的人機交互更為頻繁,用戶輸入什么信息內(nèi)容是網(wǎng)頁設(shè)計者無法預(yù)測的,此時網(wǎng)頁設(shè)計中安全隱患就會暴露出來,用戶的輸入內(nèi)容就有可能對網(wǎng)站造成不同程度的攻擊。在網(wǎng)站設(shè)計的經(jīng)過中,除了上面介紹的幾種安全缺陷以外,還有很多其它的安全缺陷。