網(wǎng)頁(yè)設(shè)計(jì)中的安全缺陷及對(duì)策分析,網(wǎng)頁(yè)設(shè)計(jì)論文

網(wǎng)頁(yè)設(shè)計(jì)中的安全缺陷及對(duì)策分析,網(wǎng)頁(yè)設(shè)計(jì)論文內(nèi)容摘要：隨著互聯(lián)網(wǎng)的發(fā)展,互聯(lián)網(wǎng)+時(shí)代的到來(lái),網(wǎng)站更能快速且直觀具體表現(xiàn)出企業(yè)的文化和變化。在網(wǎng)站建設(shè)中,網(wǎng)頁(yè)設(shè)計(jì)工作是重要內(nèi)容。同樣的,網(wǎng)絡(luò)上不懷好意的網(wǎng)絡(luò)攻擊和黑客也迅速的出現(xiàn),網(wǎng)頁(yè)設(shè)計(jì)中的安全缺陷及對(duì)策分析更顯重要。本文關(guān)鍵詞語(yǔ)：網(wǎng)頁(yè)設(shè)計(jì)安全;缺陷;對(duì)策;SecurityDefectsandAnalysisofWebDesigninWebsiteConstructionMARong-pingBohaiShipbuildingVocationalCollegeAbstract：WiththedevelopmentoftheInternetandthearrivaloftheInternet+era,thewebsitecanmorequicklyandintuitivelyreflectthecultureandchangesoftheenterprise.Intheconstructionofthewebsite,thewebdesignworkisanimportantcontent.Similarly,ill-intentionedcyberattacksandhackersontheInternethavealsoemergedrapidly,sosecurityflawsandcountermeasuresanalysisinwebdesignaremoreimportant.Keyword：webdesignsecurity;defects;countermeasures;0引言至1998年3月,中國(guó)第一筆互聯(lián)網(wǎng)網(wǎng)上交易的成功,隨著科技日新月異的發(fā)展,網(wǎng)絡(luò)技術(shù)也在不斷的飛速發(fā)展和更新。在這樣的大環(huán)境下,同樣也促進(jìn)了我們國(guó)家電子商務(wù)技術(shù)的迅猛發(fā)展?，F(xiàn)今,電子商務(wù)技術(shù)已經(jīng)不再只是為互聯(lián)網(wǎng)在線企業(yè)服務(wù)。更多的傳統(tǒng)企業(yè)都開(kāi)場(chǎng)關(guān)注到電子商務(wù)領(lǐng)域,使得現(xiàn)今的電子商務(wù)平臺(tái)愈加豐富多彩。商務(wù)網(wǎng)站是通過(guò)手機(jī)、平板、筆記本等電子設(shè)備,用網(wǎng)頁(yè)、APP等不同的形式來(lái)展示企業(yè)的特點(diǎn)和形象。通過(guò)商務(wù)網(wǎng)站,能夠幫助加深用戶對(duì)企業(yè)的全方位了解,促進(jìn)貿(mào)易合作的達(dá)成。在這里,網(wǎng)頁(yè)設(shè)計(jì)則是網(wǎng)站建設(shè)的關(guān)鍵工作。同時(shí),網(wǎng)絡(luò)上不懷好意的網(wǎng)絡(luò)攻擊和黑客也迅速的出現(xiàn),把握和了解在網(wǎng)頁(yè)設(shè)計(jì)經(jīng)過(guò)中會(huì)出現(xiàn)的安全缺陷,同時(shí)分析和了解解決缺陷的方式方法顯得愈加重要。1在網(wǎng)頁(yè)設(shè)計(jì)經(jīng)過(guò)中常見(jiàn)的安全隱患隨著新型互聯(lián)網(wǎng)產(chǎn)品的誕生,基于網(wǎng)頁(yè)環(huán)境的互聯(lián)網(wǎng)應(yīng)用也越來(lái)越廣泛,企業(yè)信息化的經(jīng)過(guò)中各種各樣的應(yīng)用都會(huì)放在網(wǎng)頁(yè)平臺(tái)上來(lái)實(shí)現(xiàn),網(wǎng)頁(yè)業(yè)務(wù)迅猛發(fā)展同樣也引起了黑客們的強(qiáng)烈關(guān)注,因而網(wǎng)頁(yè)安全威脅也凸顯出來(lái),攻擊者能夠利用Windows等操作系統(tǒng)本身的漏洞,或者是利用網(wǎng)頁(yè)服務(wù)程序中人機(jī)交互時(shí)的SQL注入漏洞等安全缺陷獲得網(wǎng)頁(yè)所在服務(wù)器的控制權(quán)限,把握了控制權(quán)限之后,攻擊者就能夠篡改網(wǎng)頁(yè)的原始內(nèi)容和數(shù)據(jù),同時(shí)能夠復(fù)制網(wǎng)頁(yè)的內(nèi)部數(shù)據(jù)。與此同時(shí),攻擊者更能夠在網(wǎng)頁(yè)中加載木馬等惡意代碼,使得被攻擊的網(wǎng)站成為惡意代碼的傳播者。在網(wǎng)站建設(shè)中除了要實(shí)現(xiàn)網(wǎng)站的基本功能之外,設(shè)計(jì)者還需要考慮到網(wǎng)站的安全性。近期幾年,很多網(wǎng)站都曾被黑客攻擊過(guò)。在網(wǎng)站安全性引起重視的時(shí)候,黑客的技術(shù)也在不斷的提高,十分是利用ASP程序制作的網(wǎng)站,一些網(wǎng)站訪問(wèn)起來(lái)很正常,可是查看網(wǎng)站源代碼時(shí),就會(huì)發(fā)現(xiàn)底部有很多不明含義的隱藏內(nèi)容。那么,網(wǎng)頁(yè)設(shè)計(jì)中都有哪些常見(jiàn)的安全缺陷。2網(wǎng)頁(yè)設(shè)計(jì)中常見(jiàn)的安全缺陷2.1登錄驗(yàn)證漏洞(1)登錄驗(yàn)證漏洞指的是攻擊者繞過(guò)登錄時(shí)的驗(yàn)證系統(tǒng)直接進(jìn)入到其他頁(yè)面的漏洞。例如有些網(wǎng)站的頁(yè)面沒(méi)有做用戶登錄驗(yàn)證系統(tǒng)功能設(shè)計(jì)。那么,攻擊者在收集到網(wǎng)站的頁(yè)面完好途徑和文件名后,在閱讀器的地址欄中直接輸入完好URL途徑,就能夠不進(jìn)行驗(yàn)證而進(jìn)入指定頁(yè)面。(2)登錄驗(yàn)證漏洞的另一種是登錄驗(yàn)證頁(yè)面漏洞。多數(shù)網(wǎng)站都有登錄頁(yè)面,要求用戶輸入正確的用戶名和密碼后才能夠進(jìn)入頁(yè)面,而驗(yàn)證系統(tǒng)都是通過(guò)斷定用戶輸入的用戶名和密碼能否存在于數(shù)據(jù)庫(kù)中來(lái)進(jìn)行。但是,假如程序設(shè)計(jì)的不夠嚴(yán)謹(jǐn),則會(huì)出現(xiàn)這種漏洞。2.2SQL注入漏洞在網(wǎng)頁(yè)設(shè)計(jì)中,多數(shù)人機(jī)交互操作都是利用表單來(lái)實(shí)現(xiàn)的,假如在設(shè)計(jì)經(jīng)過(guò)中沒(méi)有對(duì)用戶輸入數(shù)據(jù)的正當(dāng)性進(jìn)行斷定的話,攻擊者能夠在文本框中提交一段SQL查詢代碼,根據(jù)程序返回的結(jié)果,獲得某些他想得知的數(shù)據(jù),這就是SQL注入。2.3文件上傳的漏洞文件上傳漏洞指的是網(wǎng)絡(luò)攻擊者上傳了一個(gè)可執(zhí)行的惡意代碼到服務(wù)器并被執(zhí)行。在我們平常常用的很多網(wǎng)站中,例如電子郵件網(wǎng)站、論壇等很多網(wǎng)站中,都允許用戶上傳文件、圖片、視頻等內(nèi)容到網(wǎng)站服務(wù)器中。假如網(wǎng)站的開(kāi)發(fā)人員沒(méi)有做好身份的認(rèn)證和數(shù)據(jù)的過(guò)濾排查,很有可能被黑客利用。黑客能夠利用如Telnet服務(wù)等功能對(duì)網(wǎng)站內(nèi)容和數(shù)據(jù)進(jìn)行修改和毀壞。這里上傳的惡意文件能夠是木馬程序、病毒,Webshell或者惡意腳本等。這種攻擊方式直接、簡(jiǎn)單又有效。2.4網(wǎng)站缺乏受權(quán)[1]有些網(wǎng)站在進(jìn)行網(wǎng)頁(yè)編程設(shè)計(jì)時(shí),程序設(shè)計(jì)人員往往會(huì)使用比擬繁瑣的網(wǎng)絡(luò)安全配置,使得網(wǎng)站往往缺乏受權(quán),這就造成了網(wǎng)絡(luò)服務(wù)在其應(yīng)用運(yùn)行中出現(xiàn)非常宏大的網(wǎng)絡(luò)運(yùn)行安全缺陷。利用這些安全缺陷,網(wǎng)絡(luò)黑客們能夠很容易地對(duì)網(wǎng)站的網(wǎng)絡(luò)服務(wù)器進(jìn)行遠(yuǎn)程的入侵和毀壞,給網(wǎng)站的安全和企業(yè)的經(jīng)濟(jì)利益帶來(lái)了宏大的威脅和危害。再加上軟件設(shè)置的密碼簡(jiǎn)單或是網(wǎng)絡(luò)入口的防火墻性能設(shè)置過(guò)低等安全缺陷,可以以讓網(wǎng)絡(luò)黑客和網(wǎng)絡(luò)病毒能夠非常容易的對(duì)網(wǎng)站造成侵入和毀壞。2.5網(wǎng)頁(yè)病毒的傳播網(wǎng)頁(yè)病毒是現(xiàn)今最常見(jiàn)的安全攻擊。病毒具有寄生性、傳染性、可觸發(fā)性等特點(diǎn)。這些計(jì)算機(jī)病毒都是攻擊者事先設(shè)計(jì)好的可執(zhí)行文件。例如在網(wǎng)頁(yè)文件中嵌入Script語(yǔ)言編寫(xiě)的惡意代碼,這種Script代碼能夠利用閱讀器的漏洞來(lái)實(shí)現(xiàn)病毒植入。當(dāng)用戶登錄這些網(wǎng)站時(shí),編寫(xiě)好的Script代碼會(huì)被執(zhí)行,網(wǎng)頁(yè)病毒一旦被觸發(fā),就能夠?qū)W(wǎng)頁(yè)服務(wù)器資源進(jìn)行篡改。例如,我們?cè)谏暇W(wǎng)時(shí)經(jīng)常會(huì)發(fā)現(xiàn)打開(kāi)某個(gè)頁(yè)面后,360安全衛(wèi)士會(huì)提醒有程序正在修改閱讀器首頁(yè)。這就是網(wǎng)頁(yè)病毒的一種現(xiàn)象。病毒和木馬程序也有可能會(huì)關(guān)閉網(wǎng)頁(yè)中的部分功能,使得用戶無(wú)法正常使用網(wǎng)站系統(tǒng)等。最簡(jiǎn)單的方式就是網(wǎng)頁(yè)自動(dòng)跳轉(zhuǎn)程序,而這種網(wǎng)頁(yè)病毒編寫(xiě)起來(lái)比擬容易,而且攻擊也很直接。3常見(jiàn)網(wǎng)頁(yè)設(shè)計(jì)安全缺陷解決對(duì)策3.1解決登錄驗(yàn)證安全缺陷[2]很多網(wǎng)站在進(jìn)行用戶登錄時(shí),多會(huì)使用人機(jī)交互界面完成登錄驗(yàn)證。而網(wǎng)站的設(shè)計(jì)者對(duì)驗(yàn)證程序沒(méi)有做到全面的考慮,這樣很容易產(chǎn)生登錄驗(yàn)證安全缺陷,造成ScriptLanguage編寫(xiě)程序在對(duì)用戶賬號(hào)密碼進(jìn)行驗(yàn)證工作時(shí)出現(xiàn)問(wèn)題。針對(duì)登錄驗(yàn)證安全缺陷這個(gè)問(wèn)題,能夠通過(guò)下面的方式方法解決:首先在注冊(cè)用戶名和密碼時(shí)添加注冊(cè)限制,對(duì)于非法的用戶名和密碼不準(zhǔn)申請(qǐng);其次,在利用SQL語(yǔ)句進(jìn)行登錄查詢時(shí),我們能夠先過(guò)濾用戶輸入的信息,在一定程度上防止非法賬號(hào)及密碼的應(yīng)用;接下來(lái),在進(jìn)行用戶驗(yàn)證時(shí),不急于對(duì)用戶名和密碼同時(shí)進(jìn)行匹配,而是先對(duì)用戶名進(jìn)行驗(yàn)證,等用戶名匹配成功之后,再進(jìn)行密碼的驗(yàn)證工作。這樣能夠減少查詢時(shí)間,提高查詢效率。3.2SQL注入漏洞的預(yù)防SQL語(yǔ)言是網(wǎng)站設(shè)計(jì)中必不可少的后臺(tái)數(shù)據(jù)庫(kù)語(yǔ)言。在SQL語(yǔ)言中有一些特殊字符如*等,這些特殊字符是為了完成模糊匹配的?？捎行┚W(wǎng)站設(shè)計(jì)人員在網(wǎng)站設(shè)計(jì)初始,沒(méi)有考慮到SQL語(yǔ)言的書(shū)寫(xiě)規(guī)范和特殊字符的應(yīng)用,產(chǎn)生SQL注入漏洞,導(dǎo)致攻擊者通過(guò)表單提交中的全局變量GET和POST把SQL語(yǔ)句提交并執(zhí)行。針對(duì)于這一問(wèn)題,詳細(xì)的解決方式方法包括:能夠打開(kāi)配置文件中的magic_quotes_gpc和magic_quotes_runtime的設(shè)置;設(shè)置register_globals為off;關(guān)閉全局變量注冊(cè);最后,在給數(shù)據(jù)庫(kù)和數(shù)據(jù)表字段進(jìn)行命名時(shí),十分是一些重要字段命名時(shí),不要取一些很容易被猜到的名字。例如姓名字段最好不要命名為name字段。3.3文件上傳漏洞的解決方案文件上傳漏洞產(chǎn)生的原因主要是攻擊者通過(guò)網(wǎng)站上提供的上傳文件功能,把一些惡意的可執(zhí)行文件上傳至服務(wù)器,并通過(guò)它獲得對(duì)服務(wù)器的控制權(quán)。能夠通過(guò)下面幾個(gè)方面來(lái)解決文件上傳漏洞:首先把文件上傳的目錄設(shè)置為不可執(zhí)行,這樣一來(lái),此目錄只能存放文件,不能做其它操作;其次,文件類型的判定。要對(duì)上傳的文件進(jìn)行判定,可執(zhí)行文件等特殊類型的文件不能夠上傳保存;最后,使用隨機(jī)數(shù)改寫(xiě)文件名和文件途徑;單獨(dú)設(shè)置文件服務(wù)器的域名。3.4Web安全加固[3]針對(duì)網(wǎng)頁(yè)篡改的攻擊方式方法多種多樣。假如想要網(wǎng)頁(yè)不被篡改,最直接的方式方法就是在設(shè)計(jì)網(wǎng)頁(yè)時(shí)采取一定的措施來(lái)避免被篡改的網(wǎng)頁(yè)從服務(wù)器中流出去。同時(shí),加固網(wǎng)頁(yè)使其不容易被修改。前者我們能夠使用硬件的方式來(lái)實(shí)現(xiàn)。而后者,我們能夠通過(guò)網(wǎng)頁(yè)設(shè)計(jì)和應(yīng)用程序來(lái)實(shí)現(xiàn)。到當(dāng)前為止兩種防護(hù)功能的互相整合程度還不是很高。在現(xiàn)今不斷發(fā)展的信息技術(shù)時(shí)代,網(wǎng)絡(luò)無(wú)處不在,我們的很多信息都是通過(guò)網(wǎng)站獲得,所以網(wǎng)站技術(shù)就成了一項(xiàng)很重要的內(nèi)容。網(wǎng)頁(yè)設(shè)計(jì)中經(jīng)常使用的服務(wù)器端設(shè)計(jì)程序主要包括ActiveServerPage、HypertextPreprocessor、JavaServerPages等腳本語(yǔ)言,正是這些腳本語(yǔ)言為網(wǎng)站開(kāi)發(fā)提供了平臺(tái)。利用ASP、PHP、JSP等腳本語(yǔ)言搭建的網(wǎng)站后臺(tái)程序,不管是程序開(kāi)發(fā)階段,還是程序后期維護(hù)階段,對(duì)于設(shè)計(jì)開(kāi)發(fā)人員來(lái)講都非常的高效、便捷,而且實(shí)現(xiàn)起來(lái)也是比擬容易的。一個(gè)功能健全而使用安全的網(wǎng)站所牽涉到的程序內(nèi)容有很多,又因網(wǎng)頁(yè)設(shè)計(jì)的特殊性,使得利用表單等功能實(shí)現(xiàn)的人機(jī)交互更為頻繁,用戶輸入什么信息內(nèi)容是網(wǎng)頁(yè)設(shè)計(jì)者無(wú)法預(yù)測(cè)的,此時(shí)網(wǎng)頁(yè)設(shè)計(jì)中安全隱患就會(huì)暴露出來(lái),用戶的輸入內(nèi)容就有可能對(duì)網(wǎng)站造成不同程度的攻擊。在網(wǎng)站設(shè)計(jì)的經(jīng)過(guò)中,除了上面介紹的幾種安全缺陷以外,還有很多其它的安全缺陷。