近些年網絡技術突飛猛進��,人們的工作生活都離不開網絡�����,更多的企業(yè)以及機關單位都開始自行建設網站從事網絡宣傳和商務活動���,在簡化業(yè)務流程��,拓寬業(yè)務渠道�,方便工作生活的同時�,網絡安全問題也日益突出,研究網站建設中網頁設計安全缺陷和對策十分必要����。
1 網頁設計安全缺陷
1.1 網站建設
網絡技術快速發(fā)展,網絡安全技術逐漸完善�,黑客攻擊技術也不斷更新?lián)Q代,更加先進����,黑客行為從單純惡意攻擊逐漸轉變?yōu)樯虡I(yè)機密以及個人隱私的竊取��,針對網站的攻擊越來越多����,設計人員在網站設計工作中要對其安全問題充分重視���,了解網站建設網頁設計中存在的各種安全缺陷����,并在網頁設計工作中找尋有效的措施予以解決�,提高網站網頁的安全性��。網站建設的基本流程主要有需求分析����、美工設計、程序開發(fā)�、網站發(fā)布運營等幾個步驟,需要設計開發(fā)很多配套輔助程序���,其中網頁設計有著自身的特殊性�����,程序的安全漏洞更多���,安全威脅也嚴重����。
1.2 網頁設計
網站建設的目的是為企業(yè)和用戶��、政府機關和群眾提供便捷的溝通橋梁��,利用網站為用戶和群眾提供產品信息�����、政策信息�����,并搜集用戶和群眾的反饋信息���,加深用戶和群眾對企業(yè)以及政府機關的了解�。尤其是電子商務網站����,除了信息溝通之外����,還兼具宣傳產品����、網絡營銷等商業(yè)用途,能夠為企業(yè)提供展示自身產品的平臺�����,從而進一步提高自身產品的知名度�,為達易創(chuàng)造機會,加快企業(yè)發(fā)展���。網頁設計是網站建設的核心內容之一,網頁設計質量的好壞對網站建設的整體質量有較大的影響�,是網站建設水平的一個縮影,也是網站建設的展示效果��,經過多年發(fā)展���,網頁設計技術已經逐漸發(fā)展成熟��,形成了多種便利的編程工具�����,網頁設計的效率更高����,表現(xiàn)效果也更生動,給網站開發(fā)人員提供了有力的技術支持�。
1.3 網頁設計安全缺陷威脅
現(xiàn)階段,網頁設計中應用的服務器端網頁設計技術主要有動態(tài)服務器頁面(Active Server Page��,ASP)�,Java服務器頁面(Java Server Pages,JSP)以及超文本預處理器(Hypertext Preprocessor���,PHP)等幾類��,利用腳本語言���,就能夠管理網站資源,網站使用者和網站之間的交互性更強����,功能更加多樣、直觀��、簡潔。如果網頁設計中存在語言編程問題����,用戶在使用過程中就會逐漸形成安全漏洞,為不法分子利用��,就可能給企業(yè)造成間接和直接損失�。用戶輸入信息不可控,信息不確定性很大���,網頁設計開發(fā)人員需要充分考慮到這個問題��,詳細全面分析用戶信息���,避免非法信息輸入損害網站安全。網頁腳本語言編輯和服務器之間有著密切的數(shù)據連接����,關系到網站設置和服務器數(shù)據�,網頁設計中的漏洞會影響網站的安全性,增加數(shù)據被竊取的風險���。
2 網頁設計安全缺陷應對措施
網頁設計中的安全缺陷會降低網站的安全性能����,威脅企業(yè)隱私數(shù)據安全,現(xiàn)階段���,網頁設計中存在的安全缺陷主要包括Web安全加固�、桌面數(shù)據庫泄密和文件上傳漏洞等幾方面����。
2.1 Web安全加固
常規(guī)安全設備不能抵御應用層攻擊,因此互聯(lián)網廠商提供了應用層防火墻��,以硬件的方式抵御網絡攻擊�,針對SQL注入式攻擊能夠提供數(shù)據攔截功能。但是針對網頁篡改的攻擊方法多種多樣�,攻擊者會想方設法獲取系統(tǒng)操作權限并進行違法操作。為了避免網頁篡改���,設計網頁時要采取措施避免被篡改的網頁流出服務器�,同時加固網頁使其不容易被修改�����。當前市場上防SQL服務以硬件的方式實現(xiàn)�,而網頁防篡改則通過網頁設計和應用程序進行���,兩種防護功能的相互整合程度不高。為了整合兩種功能���,在內核層面����,可以將文件目錄以及內容修改行為封裝在內核入口中��,系統(tǒng)利用層次攔截服務驗證修改操作的合法性��,非法操作拒絕其調用函數(shù)進入內核����,并記錄攻擊攔截日志;系統(tǒng)層面��,在受保護頁面和文件目錄對應內核中設置防修改Incode節(jié)點位�����;應用層則利用事件觸發(fā)保護策略監(jiān)控網頁文件和目錄���,建立多層安全加固體系�����,保護網頁安全�。
2.2 逃避驗證/文件上傳
用戶知道網頁文件名�、路徑,就有可能逃避驗證����,威脅網站安全。網頁如果沒有設置用戶登錄限制��,用戶就可能直接將網頁文件名輸入網頁�,無需進行登錄驗證就能夠獲取網頁內容,降低了網站的安全性�。為了避免用戶逃避驗證,網頁設計開發(fā)人員需要注意保護網頁信息�,加密網頁文件名、路徑�����,重要網站內容設置用戶身份驗證��,用戶需要驗證身份之后再登錄相關頁面,獲取信息�,從而進一步提高網頁安全性。
很多網站都設計了上傳文件功能����,視頻網站用戶可以自行上傳視頻,網盤用戶可以上傳自己的各類文件����,雖然給用戶帶來了便捷和更多豐富的功能,但也給網站安全性帶來了很大考驗���。一些網站設計開發(fā)工作人員在網頁設計中忽視了上傳文件的安全性問題�����,沒有添加過濾功能����,或者過濾參數(shù)設置不合理�,一些不法分子利用文件上傳功能,上傳惡意文件�����,潛入網站數(shù)據庫系統(tǒng)進行破壞或者信息竊取。為了提高網站文件上傳的安全性�����,網站網頁設計應該設置判斷程序�,系統(tǒng)接收文件上傳請求之后首先分析判別其安全性�,確認其為無威脅文件之后方可完成上傳操作,從而有效避免非法文件���、木馬病毒上傳到網站��,提高系統(tǒng)安全性���。
2.3 數(shù)據庫下載/源代碼泄露
桌面數(shù)據庫被下載是另一個嚴重的網頁設計缺陷,ASP+Access應用系統(tǒng)更容易出現(xiàn)這個問題�����。用戶在一般情況下需要通過網站的用戶登錄和身份驗證之后方可下載網站相關信息��,但是在知道Access數(shù)據庫名稱�����、路徑之后,數(shù)據庫中的信息就可以隨意下載����,導致數(shù)據庫機密敏感信息泄密,給企業(yè)帶來損失����。例如圖書館管理系統(tǒng)數(shù)據庫名稱為Library.mdb,路徑為URL/database��,瀏覽器中輸入URL/ database/Library.mdb���,就能夠直接下載該數(shù)據庫中的信息���。為了保護數(shù)據庫信息,ASP程序設計首選開放數(shù)據庫互連(Open Database Connectivity����,ODBC)數(shù)據源,該數(shù)據源不將數(shù)據庫名稱直接寫入程序中��,不會出現(xiàn)ASP源代碼和數(shù)據庫名稱一同丟失的情況�,除此之外,還應該進行頁面的加密處理和數(shù)據庫信息加密處理���,保護數(shù)據庫內部資料����。
源代碼泄露也嚴重威脅著網站的安全,網站建設網頁設計中為了避免源代碼泄露�����,網站頁面代碼都需要加密處理�����,從而保護源代碼��,提高網站安全性能�����。常見的ASP加密方法主要有編程邏輯封裝和ASP頁面加密兩種���,其中Script Encoder ASP頁面加密更加常用,有著理想的可編程性���,嵌入HTML頁面中的ASP代碼仍然可以使用常用的Dreamweaver等網頁編輯工具完善HTML部分���,加密目錄內所有ASP文件并統(tǒng)一輸出至指定目錄�����,操作簡單���,安全性高。
2.4 網頁篩選過濾
網站服務器提供了過濾轉送機制���,方便網頁設計開發(fā)工作人員額外篩選處理網頁數(shù)據�����,該機制能夠于網站服務器外掛命令文件并編譯執(zhí)行�,利用網站服務設定��,可以轉移網頁輸入數(shù)據至網頁篩選過濾模塊���,該模塊接受網頁數(shù)據之后����,獲得其參數(shù)數(shù)據���,并將其傳遞給XML解析器驗證�,驗證成功方可進行下一步操作,否則將向用戶端回傳錯誤信息�����;之后輸入數(shù)據傳遞給MAC模塊����,校驗數(shù)據完整性,數(shù)據完好��,可進行下一步操作��,否則回傳錯誤信息�;數(shù)據完整性校驗完畢��,傳遞給網站應用程序����,網站應用程序回傳Cookies 和HTML數(shù)據,提取HTML數(shù)據參數(shù)網址和窗體數(shù)據傳給MAC處理模塊�����,生成信息驗證碼,將其加入Cookie和HTML文件�����,回傳給客戶端�����。
網頁篩選過濾模塊讀取參數(shù)名稱����,判斷該網頁是否有待處理表單,如果沒有參數(shù)名稱則不做處理��,有參數(shù)名稱����,表示有待處理表單,則逐一提取字段值�����、Cookies信息����,XML解析驗證�。該功能能夠過濾和分析網頁����,實現(xiàn)流程控制、其他功能模塊調用和安全校驗等功能�。
管理員
該內容暫無評論