近些年網(wǎng)絡(luò)技術(shù)突飛猛進����,人們的工作生活都離不開網(wǎng)絡(luò)��,更多的企業(yè)以及機關(guān)單位都開始自行建設(shè)網(wǎng)站從事網(wǎng)絡(luò)宣傳和商務(wù)活動�,在簡化業(yè)務(wù)流程,拓寬業(yè)務(wù)渠道��,方便工作生活的同時,網(wǎng)絡(luò)安全問題也日益突出�,研究網(wǎng)站建設(shè)中網(wǎng)頁設(shè)計安全缺陷和對策十分必要。
1 網(wǎng)頁設(shè)計安全缺陷
1.1 網(wǎng)站建設(shè)
網(wǎng)絡(luò)技術(shù)快速發(fā)展��,網(wǎng)絡(luò)安全技術(shù)逐漸完善���,黑客攻擊技術(shù)也不斷更新?lián)Q代���,更加先進,黑客行為從單純惡意攻擊逐漸轉(zhuǎn)變?yōu)樯虡I(yè)機密以及個人隱私的竊取�,針對網(wǎng)站的攻擊越來越多,設(shè)計人員在網(wǎng)站設(shè)計工作中要對其安全問題充分重視����,了解網(wǎng)站建設(shè)網(wǎng)頁設(shè)計中存在的各種安全缺陷,并在網(wǎng)頁設(shè)計工作中找尋有效的措施予以解決����,提高網(wǎng)站網(wǎng)頁的安全性。網(wǎng)站建設(shè)的基本流程主要有需求分析�、美工設(shè)計、程序開發(fā)����、網(wǎng)站發(fā)布運營等幾個步驟�,需要設(shè)計開發(fā)很多配套輔助程序���,其中網(wǎng)頁設(shè)計有著自身的特殊性����,程序的安全漏洞更多���,安全威脅也嚴重����。
1.2 網(wǎng)頁設(shè)計
網(wǎng)站建設(shè)的目的是為企業(yè)和用戶����、政府機關(guān)和群眾提供便捷的溝通橋梁��,利用網(wǎng)站為用戶和群眾提供產(chǎn)品信息����、政策信息,并搜集用戶和群眾的反饋信息����,加深用戶和群眾對企業(yè)以及政府機關(guān)的了解�����。尤其是電子商務(wù)網(wǎng)站�,除了信息溝通之外��,還兼具宣傳產(chǎn)品����、網(wǎng)絡(luò)營銷等商業(yè)用途,能夠為企業(yè)提供展示自身產(chǎn)品的平臺�,從而進一步提高自身產(chǎn)品的知名度,為達易創(chuàng)造機會����,加快企業(yè)發(fā)展。網(wǎng)頁設(shè)計是網(wǎng)站建設(shè)的核心內(nèi)容之一���,網(wǎng)頁設(shè)計質(zhì)量的好壞對網(wǎng)站建設(shè)的整體質(zhì)量有較大的影響�����,是網(wǎng)站建設(shè)水平的一個縮影����,也是網(wǎng)站建設(shè)的展示效果,經(jīng)過多年發(fā)展��,網(wǎng)頁設(shè)計技術(shù)已經(jīng)逐漸發(fā)展成熟�����,形成了多種便利的編程工具����,網(wǎng)頁設(shè)計的效率更高,表現(xiàn)效果也更生動���,給網(wǎng)站開發(fā)人員提供了有力的技術(shù)支持�。
1.3 網(wǎng)頁設(shè)計安全缺陷威脅
現(xiàn)階段����,網(wǎng)頁設(shè)計中應(yīng)用的服務(wù)器端網(wǎng)頁設(shè)計技術(shù)主要有動態(tài)服務(wù)器頁面(Active Server Page,ASP)���,Java服務(wù)器頁面(Java Server Pages,JSP)以及超文本預(yù)處理器(Hypertext Preprocessor���,PHP)等幾類�,利用腳本語言,就能夠管理網(wǎng)站資源�,網(wǎng)站使用者和網(wǎng)站之間的交互性更強,功能更加多樣����、直觀、簡潔�。如果網(wǎng)頁設(shè)計中存在語言編程問題,用戶在使用過程中就會逐漸形成安全漏洞�����,為不法分子利用��,就可能給企業(yè)造成間接和直接損失����。用戶輸入信息不可控,信息不確定性很大����,網(wǎng)頁設(shè)計開發(fā)人員需要充分考慮到這個問題,詳細全面分析用戶信息����,避免非法信息輸入損害網(wǎng)站安全���。網(wǎng)頁腳本語言編輯和服務(wù)器之間有著密切的數(shù)據(jù)連接,關(guān)系到網(wǎng)站設(shè)置和服務(wù)器數(shù)據(jù)���,網(wǎng)頁設(shè)計中的漏洞會影響網(wǎng)站的安全性��,增加數(shù)據(jù)被竊取的風(fēng)險����。
2 網(wǎng)頁設(shè)計安全缺陷應(yīng)對措施
網(wǎng)頁設(shè)計中的安全缺陷會降低網(wǎng)站的安全性能�����,威脅企業(yè)隱私數(shù)據(jù)安全�����,現(xiàn)階段�,網(wǎng)頁設(shè)計中存在的安全缺陷主要包括Web安全加固、桌面數(shù)據(jù)庫泄密和文件上傳漏洞等幾方面���。
2.1 Web安全加固
常規(guī)安全設(shè)備不能抵御應(yīng)用層攻擊���,因此互聯(lián)網(wǎng)廠商提供了應(yīng)用層防火墻,以硬件的方式抵御網(wǎng)絡(luò)攻擊���,針對SQL注入式攻擊能夠提供數(shù)據(jù)攔截功能��。但是針對網(wǎng)頁篡改的攻擊方法多種多樣��,攻擊者會想方設(shè)法獲取系統(tǒng)操作權(quán)限并進行違法操作���。為了避免網(wǎng)頁篡改,設(shè)計網(wǎng)頁時要采取措施避免被篡改的網(wǎng)頁流出服務(wù)器���,同時加固網(wǎng)頁使其不容易被修改�����。當前市場上防SQL服務(wù)以硬件的方式實現(xiàn)�,而網(wǎng)頁防篡改則通過網(wǎng)頁設(shè)計和應(yīng)用程序進行��,兩種防護功能的相互整合程度不高�����。為了整合兩種功能,在內(nèi)核層面��,可以將文件目錄以及內(nèi)容修改行為封裝在內(nèi)核入口中����,系統(tǒng)利用層次攔截服務(wù)驗證修改操作的合法性,非法操作拒絕其調(diào)用函數(shù)進入內(nèi)核�����,并記錄攻擊攔截日志�����;系統(tǒng)層面���,在受保護頁面和文件目錄對應(yīng)內(nèi)核中設(shè)置防修改Incode節(jié)點位����;應(yīng)用層則利用事件觸發(fā)保護策略監(jiān)控網(wǎng)頁文件和目錄�����,建立多層安全加固體系���,保護網(wǎng)頁安全����。
2.2 逃避驗證/文件上傳
用戶知道網(wǎng)頁文件名�����、路徑�,就有可能逃避驗證,威脅網(wǎng)站安全����。網(wǎng)頁如果沒有設(shè)置用戶登錄限制,用戶就可能直接將網(wǎng)頁文件名輸入網(wǎng)頁�,無需進行登錄驗證就能夠獲取網(wǎng)頁內(nèi)容,降低了網(wǎng)站的安全性��。為了避免用戶逃避驗證���,網(wǎng)頁設(shè)計開發(fā)人員需要注意保護網(wǎng)頁信息��,加密網(wǎng)頁文件名����、路徑,重要網(wǎng)站內(nèi)容設(shè)置用戶身份驗證�,用戶需要驗證身份之后再登錄相關(guān)頁面,獲取信息��,從而進一步提高網(wǎng)頁安全性���。
很多網(wǎng)站都設(shè)計了上傳文件功能����,視頻網(wǎng)站用戶可以自行上傳視頻����,網(wǎng)盤用戶可以上傳自己的各類文件,雖然給用戶帶來了便捷和更多豐富的功能��,但也給網(wǎng)站安全性帶來了很大考驗���。一些網(wǎng)站設(shè)計開發(fā)工作人員在網(wǎng)頁設(shè)計中忽視了上傳文件的安全性問題����,沒有添加過濾功能����,或者過濾參數(shù)設(shè)置不合理���,一些不法分子利用文件上傳功能,上傳惡意文件����,潛入網(wǎng)站數(shù)據(jù)庫系統(tǒng)進行破壞或者信息竊取。為了提高網(wǎng)站文件上傳的安全性����,網(wǎng)站網(wǎng)頁設(shè)計應(yīng)該設(shè)置判斷程序�����,系統(tǒng)接收文件上傳請求之后首先分析判別其安全性�����,確認其為無威脅文件之后方可完成上傳操作����,從而有效避免非法文件、木馬病毒上傳到網(wǎng)站�����,提高系統(tǒng)安全性。
2.3 數(shù)據(jù)庫下載/源代碼泄露
桌面數(shù)據(jù)庫被下載是另一個嚴重的網(wǎng)頁設(shè)計缺陷�����,ASP+Access應(yīng)用系統(tǒng)更容易出現(xiàn)這個問題�。用戶在一般情況下需要通過網(wǎng)站的用戶登錄和身份驗證之后方可下載網(wǎng)站相關(guān)信息,但是在知道Access數(shù)據(jù)庫名稱����、路徑之后,數(shù)據(jù)庫中的信息就可以隨意下載����,導(dǎo)致數(shù)據(jù)庫機密敏感信息泄密,給企業(yè)帶來損失�。例如圖書館管理系統(tǒng)數(shù)據(jù)庫名稱為Library.mdb,路徑為URL/database�����,瀏覽器中輸入URL/ database/Library.mdb�,就能夠直接下載該數(shù)據(jù)庫中的信息。為了保護數(shù)據(jù)庫信息�����,ASP程序設(shè)計首選開放數(shù)據(jù)庫互連(Open Database Connectivity,ODBC)數(shù)據(jù)源�����,該數(shù)據(jù)源不將數(shù)據(jù)庫名稱直接寫入程序中���,不會出現(xiàn)ASP源代碼和數(shù)據(jù)庫名稱一同丟失的情況����,除此之外����,還應(yīng)該進行頁面的加密處理和數(shù)據(jù)庫信息加密處理�����,保護數(shù)據(jù)庫內(nèi)部資料����。
源代碼泄露也嚴重威脅著網(wǎng)站的安全,網(wǎng)站建設(shè)網(wǎng)頁設(shè)計中為了避免源代碼泄露����,網(wǎng)站頁面代碼都需要加密處理���,從而保護源代碼,提高網(wǎng)站安全性能���。常見的ASP加密方法主要有編程邏輯封裝和ASP頁面加密兩種����,其中Script Encoder ASP頁面加密更加常用�����,有著理想的可編程性��,嵌入HTML頁面中的ASP代碼仍然可以使用常用的Dreamweaver等網(wǎng)頁編輯工具完善HTML部分����,加密目錄內(nèi)所有ASP文件并統(tǒng)一輸出至指定目錄,操作簡單���,安全性高�����。
2.4 網(wǎng)頁篩選過濾
網(wǎng)站服務(wù)器提供了過濾轉(zhuǎn)送機制�,方便網(wǎng)頁設(shè)計開發(fā)工作人員額外篩選處理網(wǎng)頁數(shù)據(jù),該機制能夠于網(wǎng)站服務(wù)器外掛命令文件并編譯執(zhí)行�����,利用網(wǎng)站服務(wù)設(shè)定�����,可以轉(zhuǎn)移網(wǎng)頁輸入數(shù)據(jù)至網(wǎng)頁篩選過濾模塊���,該模塊接受網(wǎng)頁數(shù)據(jù)之后�����,獲得其參數(shù)數(shù)據(jù)�,并將其傳遞給XML解析器驗證��,驗證成功方可進行下一步操作�����,否則將向用戶端回傳錯誤信息�����;之后輸入數(shù)據(jù)傳遞給MAC模塊�����,校驗數(shù)據(jù)完整性����,數(shù)據(jù)完好,可進行下一步操作�,否則回傳錯誤信息;數(shù)據(jù)完整性校驗完畢����,傳遞給網(wǎng)站應(yīng)用程序,網(wǎng)站應(yīng)用程序回傳Cookies 和HTML數(shù)據(jù)�,提取HTML數(shù)據(jù)參數(shù)網(wǎng)址和窗體數(shù)據(jù)傳給MAC處理模塊,生成信息驗證碼���,將其加入Cookie和HTML文件�,回傳給客戶端�����。
網(wǎng)頁篩選過濾模塊讀取參數(shù)名稱,判斷該網(wǎng)頁是否有待處理表單���,如果沒有參數(shù)名稱則不做處理��,有參數(shù)名稱�����,表示有待處理表單�����,則逐一提取字段值���、Cookies信息,XML解析驗證��。該功能能夠過濾和分析網(wǎng)頁����,實現(xiàn)流程控制、其他功能模塊調(diào)用和安全校驗等功能���。
管理員
該內(nèi)容暫無評論