安全缺陷網(wǎng)頁設(shè)計論文

前言：本站為你精心整理了安全缺陷網(wǎng)頁設(shè)計論文范文，希望能為你的創(chuàng)作提供參考價值，我們的客服老師可以幫助你提供個性化的參考范文，歡迎咨詢。

1網(wǎng)頁設(shè)計中安全缺陷的形成原因

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，黑客攻擊技術(shù)也變得越來越先進，針對網(wǎng)站的攻擊不斷出現(xiàn)，所以，設(shè)計人員在進行網(wǎng)站的建設(shè)時一定要充分考慮其安全問題。網(wǎng)站的建設(shè)流程包括需求分析、網(wǎng)站美工設(shè)計、程序開發(fā)、網(wǎng)站。在網(wǎng)站建設(shè)中，要開發(fā)很多相應(yīng)的配套程序，因為網(wǎng)頁設(shè)計的獨特性，會增加程序的安全漏洞，為網(wǎng)站帶來了安全隱患。網(wǎng)站可以充當(dāng)企業(yè)和用戶之間、事業(yè)單位和群眾之間的溝通平臺，網(wǎng)站可以提供企業(yè)的產(chǎn)品信息和政府部門的政策信息，讓人民對企業(yè)和相關(guān)的事業(yè)單位有更層次的了解。尤其是電子商務(wù)網(wǎng)站，可以展示企業(yè)的產(chǎn)品，提高產(chǎn)品的知名度，拓展其銷售途徑，促進企業(yè)的發(fā)展。網(wǎng)頁設(shè)計的實質(zhì)就是建設(shè)網(wǎng)站的各項內(nèi)容，它設(shè)計的好壞，直接影響著網(wǎng)站展示的效果。隨著計算機軟件技術(shù)的發(fā)展，很多軟件都能對網(wǎng)頁進行設(shè)計，這在一定程度上提高了網(wǎng)頁設(shè)計的效率和效果，為網(wǎng)站開發(fā)人員提供了很多便捷和技術(shù)支持。在進行網(wǎng)站設(shè)計時，可以通過腳本語言編程技術(shù)實現(xiàn)網(wǎng)站和用戶之間的交流，更好地對網(wǎng)站資源進行管理。用戶可以通過網(wǎng)站了解企業(yè)的相關(guān)產(chǎn)品信息和企業(yè)最新的動向，在企業(yè)論壇中進行在線交流等，有效推動企業(yè)的發(fā)展。通過網(wǎng)站設(shè)計可以讓網(wǎng)站功能的實現(xiàn)更加安全、可靠。在網(wǎng)頁設(shè)計中應(yīng)用的服務(wù)器端網(wǎng)頁設(shè)計技術(shù)包括ASP、JSP和PHP等腳本語言，通過腳本語言可以實現(xiàn)網(wǎng)站資源的高效管理，提高了網(wǎng)站使用者和網(wǎng)站的交互性，在交互的過程中，一旦語言編程出現(xiàn)問題，就會慢慢形成安全漏洞，出現(xiàn)嚴(yán)重的安全問題，給企業(yè)造成一定的損失。這主要是因為用戶的輸入信息不可控，信息的不確定性非常大。因此，在對網(wǎng)站進行設(shè)計時，工作人員一定要事先考慮這個問題，對用戶信息進行詳細分析。一旦輸入非法信息就會對網(wǎng)站的安全產(chǎn)生損害，這些輸入的內(nèi)容可能會成為攻擊網(wǎng)絡(luò)的工具，使網(wǎng)站不能正常運行。網(wǎng)頁腳本語言編程和服務(wù)器直接相連，并和網(wǎng)站設(shè)置、網(wǎng)站的數(shù)據(jù)庫設(shè)置直接相關(guān)。如果網(wǎng)站的程序設(shè)計出現(xiàn)漏洞，就會使網(wǎng)站的安全性降低，網(wǎng)站信息被竊取的幾率升高，給企業(yè)造成不可估量的損失。

2常見網(wǎng)頁設(shè)計安全缺陷及相關(guān)解決對策

一旦網(wǎng)頁設(shè)計中的存在安全缺陷，就會使得網(wǎng)站的安全性能大大降低，制約著企業(yè)電子商務(wù)技術(shù)的發(fā)展。網(wǎng)頁設(shè)計存在的安全缺陷主要有登陸驗證缺陷、逃避驗證缺陷、桌面數(shù)據(jù)庫被下載的安全缺陷、文件上傳存在的安全缺陷。

2.1登陸驗證存在的安全問題用戶在使用網(wǎng)站內(nèi)部的信息時，一定要進行登錄，所以用戶要在該網(wǎng)站注冊設(shè)置自己的用戶名和登錄密碼。用戶在網(wǎng)站上進行注冊一方面方便企業(yè)對用戶信息進行高效管理，開展相關(guān)的工作活動。另一方面，個人設(shè)置登錄名和密碼也利于個人信息的保密，維護自己的利益。提高網(wǎng)站安全性的方式很多，用戶登錄的驗證和確認(rèn)是其中的一種安全方式，只有確保網(wǎng)站的使用者都是合法的，才能進一步確保網(wǎng)站信息的安全。但是當(dāng)前很多網(wǎng)站設(shè)計人員對用戶登錄的安全設(shè)置不夠重視，忽視驗證部分，沒有考慮到登錄驗證的重要性，導(dǎo)致登錄驗證程序的穩(wěn)定性偏低，從而使黑客等不法分子乘機入侵，威脅網(wǎng)站的安全，造成數(shù)據(jù)信息泄露，造成巨大的損失。這種登錄安全缺陷主要是因為網(wǎng)站開發(fā)人員設(shè)計的驗證程序不夠嚴(yán)密，造成腳本語言編寫程序在驗證用戶賬號密碼時出現(xiàn)問題。網(wǎng)站用戶登錄驗證流程圖如圖1所示。用戶在網(wǎng)站上登錄，需要進行相關(guān)的驗證，這時需要網(wǎng)站開發(fā)人員在數(shù)據(jù)庫的user數(shù)據(jù)表中編寫相關(guān)的程序，用戶登錄時，以username代表輸入的賬號，以password代表輸入的登錄密碼。當(dāng)用戶輸入用戶名和密碼時，系統(tǒng)會在數(shù)據(jù)庫系統(tǒng)中進行搜索，如果用戶的信息是正確的、合法的，就能搜索到相關(guān)信息，系統(tǒng)就會允許用戶使用網(wǎng)站的相關(guān)信息，反之，如果登錄信息是錯誤的、不合法的，用戶就不能實現(xiàn)網(wǎng)站的訪問。首先設(shè)定注冊限制，不是所有人都可以在網(wǎng)站上進行注冊，這樣可以有效避免非法用戶在網(wǎng)站上面注冊，從而有效降低非法攻擊的發(fā)生機率。然后，進行SQL登陸查詢時，先設(shè)置用戶信息過濾程序，過濾掉非法的用戶和密碼。最后，在驗證用戶時，先驗證用戶名，用戶名合法再驗證密碼。這樣就可以有效提高用戶登錄的安全性，解決當(dāng)中存在的問題。

2.2逃避驗證存在的安全問題如果用戶知道網(wǎng)頁的文件名或者是路徑，就會出現(xiàn)逃避驗證現(xiàn)象，使網(wǎng)站的安全性下降。一旦網(wǎng)頁沒有用戶的登錄限制，用戶在網(wǎng)頁中直接輸入網(wǎng)頁的文件名，不用進行登錄驗證，就可以讀取網(wǎng)站內(nèi)容，這對網(wǎng)站的安全是嚴(yán)重的威脅。所以，為了有效避免這個問題，需要網(wǎng)頁設(shè)計人員加強網(wǎng)頁信息的保密工作，提高網(wǎng)站信息的安全性。此外，對一些重要的網(wǎng)站內(nèi)容加強用戶身份驗證限制，這樣所有的用戶在登錄相關(guān)頁面時，都必須進行身份驗證工作，驗證通過之后，才能使用里面的相關(guān)信息，這樣會大大提高站點的數(shù)據(jù)安全性。

2.3桌面數(shù)據(jù)庫被下載的安全漏洞桌面數(shù)據(jù)庫被下載的安全漏洞主要是ASP+Access應(yīng)用系統(tǒng)中的問題。通常情況下，用戶都可以通過網(wǎng)站下載相關(guān)的信息，但是如果知道Access數(shù)據(jù)庫名稱及存儲路徑，就可以任意下載數(shù)據(jù)庫中的信息，從而導(dǎo)致數(shù)據(jù)庫中的機密信息泄露。比如，圖書館系統(tǒng)中的Access數(shù)據(jù)庫其名稱和存儲路徑一般為Library.mdb和URL/database。此時，只要在WEB瀏覽器的地址欄中鍵入URL/database/Library.mdb，就能將Library.mdb數(shù)據(jù)庫下載到本地計算機中。所以，為了有效避免上述問題，在設(shè)計ASP程序時，數(shù)據(jù)源要盡量使用ODBC數(shù)據(jù)源，這樣數(shù)據(jù)庫名稱就不會被直接寫入程序中，避免出現(xiàn)ASP源代碼和數(shù)據(jù)庫名稱一起失密的現(xiàn)象。此外，還要對頁面進行加密處理，這樣可以有效提高數(shù)據(jù)庫系統(tǒng)信息的安全性，避免數(shù)據(jù)庫內(nèi)部資料被竊取。ASP頁面的加密主要有兩種方法：一是，應(yīng)用組件技術(shù)將編程邏輯封裝在DLL中；二是，應(yīng)用ScriptEncoder加密ASP頁面。通常情況下都會采取第二種方法對ASP頁面進行加密，因為使用第一種方法對ASP頁面進行加密時，需要將每段代碼組件化，工作量特別大，并且操作十分繁瑣。采用ScriptEncoder方法加密ASP頁面時，其操作比較簡單，編輯性強，具有以下四方面的優(yōu)勢：(1)HTML具有良好的可編輯性，使用ScriptEncoder加密ASP頁面時，只需將ASP代碼嵌入到HTML頁面中，故仍可以使用常用網(wǎng)頁編輯工具如Dreamweaver等實現(xiàn)HTML部分的完善，但是ASP加密部分不能任意更改，否則將會對文件造成破壞，導(dǎo)致其失效；(2)可以加密當(dāng)前目錄中的所有ASP文件，加密后并將其統(tǒng)一輸出指定目錄中；(3)應(yīng)用ScriptEncoder加密ASP頁面的操作十分簡單。(4)criptEncoder加密軟件是免費網(wǎng)件，可以從網(wǎng)站上直接下載，安裝、注冊驗證即可。應(yīng)用ScriptEncoder對代碼加密，既簡單方便，安全性又高。隨著ScriptEncoder加密技術(shù)的廣泛應(yīng)用，DLL封裝方法的使用越來越少，逐步被淘汰。

2.4文件上傳存在的安全問題很多網(wǎng)站都具有文件上傳功能，比如學(xué)習(xí)網(wǎng)站，教師上傳一些學(xué)習(xí)資料等，但是網(wǎng)站的設(shè)計人員在設(shè)計網(wǎng)站時，沒有設(shè)置過濾參數(shù)過濾功能，導(dǎo)致非法攻擊人員利用這個漏洞上傳一些惡意文件破壞網(wǎng)站的數(shù)據(jù)庫系統(tǒng)或者是執(zhí)行任意命令。為了解決這個問題，提高文件上傳的安全性，應(yīng)該在網(wǎng)站系統(tǒng)中添加判斷程序，這樣，系統(tǒng)在獲得用戶的文件上傳請求之后，先對文件的安全性進行判別，符合文件上傳的條件，才能完成上傳操作，這樣可以避免網(wǎng)站中上傳一些非法文件，對系統(tǒng)造成破壞。

3結(jié)束語

隨著21世紀(jì)信息化進程的不斷加快，網(wǎng)絡(luò)在人們生活中的作用越來越重要，而網(wǎng)站的安全問題也備受關(guān)注。在對網(wǎng)站進行建設(shè)時，需要涉及到很多的應(yīng)用程序，在網(wǎng)頁設(shè)計的交互程序中會出現(xiàn)很多安全漏洞問題，從而對網(wǎng)站造成影響，甚至給企事業(yè)單位造成不可估計的損失。所以，我們一定要重視網(wǎng)站的安全問題，在網(wǎng)站建設(shè)中充分考慮可能出現(xiàn)的安全問題，這樣可以在一定程度上提高網(wǎng)站的安全性。

作者：王洪海單位：沈陽職業(yè)技術(shù)學(xué)院