安全分析中網(wǎng)頁設(shè)計論文范文

本站小編為你精心準(zhǔn)備了安全分析中網(wǎng)頁設(shè)計論文參考范文，愿這些范文能點(diǎn)燃您思維的火花，激發(fā)您的寫作靈感。歡迎深入閱讀并收藏。

1對網(wǎng)頁設(shè)計中安全漏洞形成原因及對企業(yè)所造成危害的分析

網(wǎng)站中有全面的企業(yè)信息，用戶可以通過網(wǎng)站信息對企業(yè)形象和企業(yè)產(chǎn)品有一個全面認(rèn)識，它是企業(yè)和用戶之間的一種重要交流工具，為企業(yè)和用戶交易活動的達(dá)成提供了有力保障。網(wǎng)站是現(xiàn)代企業(yè)發(fā)展的關(guān)鍵，也是電子商務(wù)的重要表現(xiàn)途徑，具有重要意義。網(wǎng)頁設(shè)計工作是網(wǎng)站建設(shè)工作的重要組成部分，企業(yè)網(wǎng)站各項內(nèi)容的建設(shè)其實(shí)質(zhì)是網(wǎng)頁設(shè)計的有機(jī)結(jié)合，網(wǎng)頁設(shè)計質(zhì)量的高低對網(wǎng)站實(shí)際作用效果的好壞有直接影響。ASP、PHP或JSP等腳本語言是網(wǎng)頁設(shè)計較為常用的服務(wù)器端網(wǎng)頁設(shè)計技術(shù)，ASP、PHP或JSP等腳本語言的應(yīng)用為網(wǎng)站技術(shù)開發(fā)人員的開發(fā)工作提供了便利，使網(wǎng)站資源的管理更為高效、便捷，促進(jìn)了用戶與網(wǎng)站之間的溝通交流，用戶通過網(wǎng)站可以及時了解企業(yè)動向、參與企業(yè)的論壇交流、企業(yè)產(chǎn)品相關(guān)信息、在線調(diào)查以及貿(mào)易合作等。企業(yè)與用戶之所以可以通過網(wǎng)站進(jìn)行交互是通過腳本語言編程技術(shù)實(shí)現(xiàn)的，腳本語言編程一旦出現(xiàn)問題，就會對網(wǎng)站造成不同程度的威脅，形成相應(yīng)的安全缺陷，為企業(yè)內(nèi)部信息帶來巨大風(fēng)險。用戶輸入什么信息內(nèi)容是無法預(yù)測的，具有不可控性，在網(wǎng)頁設(shè)計過程中如果開發(fā)人員對用戶輸入的信息內(nèi)容考慮不全面或未考慮該方面內(nèi)容，對網(wǎng)站來說此用戶所輸入的內(nèi)容很可能成為一種攻擊企業(yè)網(wǎng)站的危險工具，對企業(yè)網(wǎng)站的正常運(yùn)行造成不利影響。企業(yè)網(wǎng)絡(luò)服務(wù)器與ASP、PHP或JSP等網(wǎng)頁腳本語言編程是直接相連的，網(wǎng)頁腳本語言還與網(wǎng)站設(shè)置、網(wǎng)站數(shù)據(jù)庫有著密切關(guān)聯(lián)，腳本語言編程一旦出現(xiàn)問題，就會使整個網(wǎng)站存在安全缺陷，牽連甚廣，企業(yè)網(wǎng)頁受到攻擊之后可能導(dǎo)致企業(yè)內(nèi)部信息被竊取甚至造成整個網(wǎng)絡(luò)癱瘓的不良后果，給企業(yè)帶來巨大損失。

2對網(wǎng)頁設(shè)計常見安全漏洞的分析及相應(yīng)的解決方案

2.1登陸驗證中存在的安全漏洞及解決方案登錄驗證是聊天室、信息網(wǎng)會員區(qū)、論壇等交互性網(wǎng)站中必不可少的一部分，雖然在整個網(wǎng)站運(yùn)行中登陸驗證只是其中的一小部分，卻對整個網(wǎng)絡(luò)的安全運(yùn)行至關(guān)重要，它是整個網(wǎng)站的安全之口。在網(wǎng)頁設(shè)計過程中，開發(fā)人員常常忽略掉這一環(huán)節(jié)的設(shè)計工作。網(wǎng)站開發(fā)人員編程的不嚴(yán)謹(jǐn)致使當(dāng)前很多企業(yè)網(wǎng)站都存在登陸驗證的安全漏洞，安全關(guān)口驗證程序的不到位為網(wǎng)絡(luò)安全埋下了巨大隱患，會讓不法分子有機(jī)可趁，為企業(yè)造成不必要的損失。針對登陸驗證漏洞問題，我們采取了以下解決方案：通過注冊限制的設(shè)定有效避免非法賬戶密碼的申請，對解決以上問題非常有效；其次，在SQL登陸查詢語句生成之前，先對用戶信息進(jìn)行過濾（用戶名和用戶密碼），避免非法賬號密碼的應(yīng)用；最后，在對用戶進(jìn)行驗證之前，先驗證用戶的用戶名是否合乎標(biāo)準(zhǔn)，確認(rèn)用戶名屬實(shí)后，在對密碼進(jìn)行驗證。

2.2桌面數(shù)據(jù)庫安全漏洞及解決方案在ASP+Access應(yīng)用系統(tǒng)中，網(wǎng)站一般會為用戶提供部分信息的下載權(quán)限，如果用戶知道Access數(shù)據(jù)庫的數(shù)據(jù)庫名和存儲路徑，就可以將其他信息也下載下來，就會造成數(shù)據(jù)的流失。多數(shù)網(wǎng)上圖書館Access數(shù)據(jù)庫的存儲路徑多以根目錄“(URL/”)下或“URL/database”為主，該類數(shù)據(jù)庫通常會被命名為Library.mdb或與之相關(guān)的名稱。用戶了解該信息之后，只需在瀏覽器中輸入“URL/database/Li-brary.mdb”或相關(guān)地址信息，就可以進(jìn)入網(wǎng)上圖書館，并將圖書館中的其他信息下載到用戶本地電腦中。為解決桌面數(shù)據(jù)庫安全漏洞問題，在網(wǎng)站設(shè)計中，ASP程序應(yīng)該采用ODBC數(shù)據(jù)源，通過采用ODBC數(shù)據(jù)源可以有效避免數(shù)據(jù)庫名稱直接出現(xiàn)在運(yùn)行程序中的問題，ASP源代碼即使出現(xiàn)泄漏問題，數(shù)據(jù)庫名稱也不會因此而被竊取或流失，為網(wǎng)站的安全運(yùn)行提供了有力保障。以下一段ASP程序代碼就是利用一般數(shù)據(jù)庫編寫的：DBPath=Server.MapPath“(./akkjj16t/acd/kjhgb661/avccx55/faq19jhsvzbal.mdb”)conn.Open“driver={MicrosoftAccessDriver(*.mdb)};dbq=”&DBPath。如果該段ASP源代碼失密后，數(shù)據(jù)庫相關(guān)信息也會被竊取，用戶可以輕易將數(shù)據(jù)庫信息下載下來。如果ASP程序代碼利用ODBC數(shù)據(jù)庫編寫，則不會存在conn.ope“nODBC-DSN名，ASP源代碼即使出現(xiàn)泄漏問題，數(shù)據(jù)庫名稱也不會因此而被竊取或流失。

2.3繞過驗證直接進(jìn)入相關(guān)頁面的漏洞及解決方案在進(jìn)入某些敏感頁面前，系統(tǒng)首先會對用戶進(jìn)行身份驗證，如果用戶知道了與敏感頁面相關(guān)的網(wǎng)頁設(shè)計頁面的路徑及文件名，并且該頁面又沒有設(shè)置驗證程序，此時用戶只要輸入該設(shè)計頁面的文件名就可以進(jìn)入設(shè)計頁面，成功繞過登陸驗證界面的篩選。為提高網(wǎng)站安全性能，開發(fā)設(shè)計人員必須對與之相關(guān)的頁面設(shè)置身份驗證程序，對用戶進(jìn)行身份驗證。

2.4文件上傳漏洞及解決方案同學(xué)錄、交友網(wǎng)站等類似網(wǎng)站系統(tǒng)都有文件上傳功能，企業(yè)通過網(wǎng)站文件上傳可以進(jìn)一步增進(jìn)與用戶間的交流互動，但網(wǎng)站開發(fā)者對用戶所提交的信息缺乏充分的分析和必要的過濾，很多惡意攻擊者會利用這一漏洞在網(wǎng)站上上傳病毒文件、惡意文件等不良信息，這些有毒文件可能會對系統(tǒng)數(shù)據(jù)庫造成不同程度的損壞，某些網(wǎng)站攻擊者甚至以Web權(quán)限在系統(tǒng)上執(zhí)行任意命令。通過加入文件類型判斷模塊可以有效解決文件上傳漏洞，對用戶上傳文件進(jìn)行充分的分析和必要的過濾。當(dāng)系統(tǒng)要求用戶上傳圖片文件，用戶只能以系統(tǒng)指定的JPG、GIF文件格式才被允許上傳，像*.PHP、*.ASP、*.JSP、*.EXE等格式的程序文件是不被允許上傳的。

2.5源代碼泄露漏洞及解決方案為有效避免源代碼被竊取、遭泄露的威脅，開發(fā)者在網(wǎng)站設(shè)計過程中應(yīng)該對頁面代碼進(jìn)行加密處理，使網(wǎng)站的整體安全性能得到大幅度提高。ASP網(wǎng)頁加密方法一般包括以下兩種：通過采用微軟的ScriptEncoder對ASP網(wǎng)站頁面進(jìn)行加密；通過采用組件技術(shù)將編程邏輯封裝到DLL當(dāng)中，防止信息的丟失。當(dāng)采用組件技術(shù)方案時必須對每段代碼均需組件化，該項方案的工作量較大、操作較為煩瑣，與之相比ScriptEncoder加密方案具有成效佳、操作簡單等顯著優(yōu)點(diǎn)，將其用于解決源代碼泄露漏洞問題可以取得較好的效果，其優(yōu)點(diǎn)主要有：HTML具有較好的可編輯性，系統(tǒng)其他部分無需變化，ScriptEncoder只加密在HTML頁面中嵌入的ASP代碼，通過采用Dreamweaver或FrontPage等常用網(wǎng)頁編輯工具對HTML部分進(jìn)行修改、完善；ScriptEncoder具有制作簡單的優(yōu)點(diǎn)，通過幾個簡單命令行參數(shù)即可完成多功能操作。

3總結(jié)

通過本文中列出的相關(guān)的安全解決方法，在網(wǎng)站的建設(shè)中充分考慮網(wǎng)絡(luò)的安全性，有效的降低了網(wǎng)絡(luò)系統(tǒng)的安全漏洞，加強(qiáng)了網(wǎng)絡(luò)的安全性。

作者：徐曉丹單位：遼寧機(jī)電職業(yè)技術(shù)學(xué)院