錢　能，楊　杰

（重慶科創(chuàng)職業(yè)學院，重慶 402160）

網(wǎng)站建設中網(wǎng)頁設計的安全缺陷及對策分析

錢能，楊杰

（重慶科創(chuàng)職業(yè)學院，重慶 402160）

文章主要研究網(wǎng)站建設中網(wǎng)頁設計的安全缺陷和對策，分析了網(wǎng)頁設計安全缺陷的成因和危害，并給出了幾種常見網(wǎng)頁設計安全缺陷的應對策略。

網(wǎng)站建設；網(wǎng)頁設計；安全缺陷

近些年網(wǎng)絡技術突飛猛進，人們的工作生活都離不開網(wǎng)絡，更多的企業(yè)以及機關單位都開始自行建設網(wǎng)站從事網(wǎng)絡宣傳和商務活動，在簡化業(yè)務流程，提高效率，拓寬業(yè)務渠道，方便工作生活的同時，網(wǎng)絡安全問題也日益突出，研究網(wǎng)站建設中網(wǎng)頁設計安全缺陷和對策十分必要。

1　網(wǎng)頁設計安全缺陷

1.1網(wǎng)站建設

網(wǎng)絡技術快速發(fā)展，網(wǎng)絡安全技術逐漸完善，黑客攻擊技術也不斷更新?lián)Q代，更加先進，黑客行為從單純惡意攻擊逐漸轉變?yōu)樯虡I(yè)機密以及個人隱私的竊取，針對網(wǎng)站的攻擊越來越多，設計人員在網(wǎng)站設計工作中要對其安全問題充分重視，了解網(wǎng)站建設網(wǎng)頁設計中存在的各種安全缺陷，并在網(wǎng)頁設計工作中找尋有效的措施予以解決，提高網(wǎng)站網(wǎng)頁的安全性。網(wǎng)站建設的基本流程主要有需求分析、美工設計、程序開發(fā)、網(wǎng)站發(fā)布運營等幾個步驟，需要設計開發(fā)很多配套輔助程序，其中網(wǎng)頁設計有著自身的特殊性，程序的安全漏洞更多，安全威脅也嚴重。

1.2網(wǎng)頁設計

網(wǎng)站建設的目的是為企業(yè)和用戶、政府機關和群眾提供便捷的溝通橋梁，利用網(wǎng)站為用戶和群眾提供產(chǎn)品信息、政策信息，并搜集用戶和群眾的反饋信息，加深用戶和群眾對企業(yè)以及政府機關的了解。尤其是電子商務網(wǎng)站，除了信息溝通之外，還兼具宣傳產(chǎn)品、網(wǎng)絡營銷等商業(yè)用途，能夠為企業(yè)提供展示自身產(chǎn)品的平臺，從而進一步提高自身產(chǎn)品的知名度，為達成交易創(chuàng)造機會，加快企業(yè)發(fā)展。網(wǎng)頁設計是網(wǎng)站建設的核心內(nèi)容之一，網(wǎng)頁設計質量的好壞對網(wǎng)站建設的整體質量有較大的影響，是網(wǎng)站建設水平的一個縮影，也是網(wǎng)站建設的最終展示效果，經(jīng)過多年發(fā)展，網(wǎng)頁設計技術已經(jīng)逐漸發(fā)展成熟，形成了多種便利的編程工具，網(wǎng)頁設計的效率更高，最終表現(xiàn)效果也更生動，給網(wǎng)站開發(fā)人員提供了有力的技術支持。

1.3網(wǎng)頁設計安全缺陷威脅

現(xiàn)階段，網(wǎng)頁設計中應用最為廣泛的服務器端網(wǎng)頁設計技術主要有動態(tài)服務器頁面（Active Server Page，ASP），Java服務器頁面（Java Server Pages，JSP）以及超文本預處理器（Hypertext Preprocessor，PHP）等幾類，利用腳本語言，就能夠高效管理網(wǎng)站資源，網(wǎng)站使用者和網(wǎng)站之間的交互性更強，功能更加多樣、直觀、簡潔。如果網(wǎng)頁設計中存在語言編程問題，用戶在使用過程中就會逐漸形成安全漏洞，為不法分子利用，就可能給企業(yè)造成間接和直接損失。用戶輸入信息不可控，信息不確定性很大，網(wǎng)頁設計開發(fā)人員需要充分考慮到這個問題，詳細全面分析用戶信息，避免非法信息輸入損害網(wǎng)站安全。網(wǎng)頁腳本語言編輯和服務器之間有著密切的數(shù)據(jù)連接，關系到網(wǎng)站設置和服務器數(shù)據(jù)，網(wǎng)頁設計中的漏洞會影響網(wǎng)站的安全性，增加數(shù)據(jù)被竊取的風險。

2　網(wǎng)頁設計安全缺陷應對措施

網(wǎng)頁設計中的安全缺陷會降低網(wǎng)站的安全性能，威脅企業(yè)隱私數(shù)據(jù)安全，現(xiàn)階段，網(wǎng)頁設計中存在的安全缺陷主要包括Web安全加固、桌面數(shù)據(jù)庫泄密和文件上傳漏洞等幾方面。

2.1Web安全加固

常規(guī)安全設備不能抵御應用層攻擊，因此互聯(lián)網(wǎng)廠商提供了應用層防火墻，以硬件的方式抵御網(wǎng)絡攻擊，針對SQL注入式攻擊能夠提供數(shù)據(jù)攔截功能。但是針對網(wǎng)頁篡改的攻擊方法多種多樣，攻擊者會想方設法獲取系統(tǒng)操作權限并進行違法操作。為了避免網(wǎng)頁篡改，設計網(wǎng)頁時要采取措施避免被篡改的網(wǎng)頁流出服務器，同時加固網(wǎng)頁使其不容易被修改。當前市場上防SQL服務以硬件的方式實現(xiàn)，而網(wǎng)頁防篡改則通過網(wǎng)頁設計和應用程序進行，兩種防護功能的相互整合程度不高。為了整合兩種功能，在內(nèi)核層面，可以將文件目錄以及內(nèi)容修改行為封裝在內(nèi)核入口中，系統(tǒng)利用層次攔截服務驗證修改操作的合法性，非法操作拒絕其調用函數(shù)進入內(nèi)核，并記錄攻擊攔截日志；系統(tǒng)層面，在受保護頁面和文件目錄對應內(nèi)核中設置防修改Incode節(jié)點位；應用層則利用事件觸發(fā)保護策略監(jiān)控網(wǎng)頁文件和目錄，建立多層安全加固體系，保護網(wǎng)頁安全。

2.2逃避驗證/文件上傳

用戶知道網(wǎng)頁文件名、路徑，就有可能逃避驗證，威脅網(wǎng)站安全。網(wǎng)頁如果沒有設置用戶登錄限制，用戶就可能直接將網(wǎng)頁文件名輸入網(wǎng)頁，無需進行登錄驗證就能夠獲取網(wǎng)頁內(nèi)容，降低了網(wǎng)站的安全性。為了避免用戶逃避驗證，網(wǎng)頁設計開發(fā)人員需要注意保護網(wǎng)頁信息，加密網(wǎng)頁文件名、路徑，重要網(wǎng)站內(nèi)容設置用戶身份驗證，用戶需要驗證身份之后再登錄相關頁面，獲取信息，從而進一步提高網(wǎng)頁安全性。

很多網(wǎng)站都設計了上傳文件功能，視頻網(wǎng)站用戶可以自行上傳視頻，網(wǎng)盤用戶可以上傳自己的各類文件，雖然給用戶帶來了便捷和更多豐富的功能，但也給網(wǎng)站安全性帶來了很大考驗。一些網(wǎng)站設計開發(fā)工作人員在網(wǎng)頁設計中忽視了上傳文件的安全性問題，沒有添加過濾功能，或者過濾參數(shù)設置不合理，一些不法分子利用文件上傳功能，上傳惡意文件，潛入網(wǎng)站數(shù)據(jù)庫系統(tǒng)進行破壞或者信息竊取。為了提高網(wǎng)站文件上傳的安全性，網(wǎng)站網(wǎng)頁設計應該設置判斷程序，系統(tǒng)接收文件上傳請求之后首先分析判別其安全性，確認其為無威脅文件之后方可完成上傳操作，從而有效避免非法文件、木馬病毒上傳到網(wǎng)站，提高系統(tǒng)安全性。

2.3數(shù)據(jù)庫下載/源代碼泄露

桌面數(shù)據(jù)庫被下載是另一個嚴重的網(wǎng)頁設計缺陷，ASP+Access應用系統(tǒng)更容易出現(xiàn)這個問題。用戶在一般情況下需要通過網(wǎng)站的用戶登錄和身份驗證之后方可下載網(wǎng)站相關信息，但是在知道Access數(shù)據(jù)庫名稱、路徑之后，數(shù)據(jù)庫中的信息就可以隨意下載，導致數(shù)據(jù)庫機密敏感信息泄密，給企業(yè)帶來損失。例如圖書館管理系統(tǒng)數(shù)據(jù)庫名稱為Library.mdb，路徑為URL/database，瀏覽器中輸入URL/ database/Library.mdb，就能夠直接下載該數(shù)據(jù)庫中的信息。為了保護數(shù)據(jù)庫信息，ASP程序設計首選開放數(shù)據(jù)庫互連（Open Database Connectivity，ODBC）數(shù)據(jù)源，該數(shù)據(jù)源不將數(shù)據(jù)庫名稱直接寫入程序中，不會出現(xiàn)ASP源代碼和數(shù)據(jù)庫名稱一同丟失的情況，除此之外，還應該進行頁面的加密處理和數(shù)據(jù)庫信息加密處理，保護數(shù)據(jù)庫內(nèi)部資料。

源代碼泄露也嚴重威脅著網(wǎng)站的安全，網(wǎng)站建設網(wǎng)頁設計中為了避免源代碼泄露，網(wǎng)站頁面代碼都需要加密處理，從而保護源代碼，提高網(wǎng)站安全性能。常見的ASP加密方法主要有編程邏輯封裝和ASP頁面加密兩種，其中Script Encoder ASP頁面加密更加常用，有著理想的可編程性，嵌入HTML頁面中的ASP代碼仍然可以使用常用的Dreamweaver等網(wǎng)頁編輯工具完善HTML部分，加密目錄內(nèi)所有ASP文件并統(tǒng)一輸出至指定目錄，操作簡單，安全性高。

2.4網(wǎng)頁篩選過濾

網(wǎng)站服務器提供了過濾轉送機制，方便網(wǎng)頁設計開發(fā)工作人員額外篩選處理網(wǎng)頁數(shù)據(jù)，該機制能夠于網(wǎng)站服務器外掛命令文件并編譯執(zhí)行，利用網(wǎng)站服務設定，可以轉移網(wǎng)頁輸入數(shù)據(jù)至網(wǎng)頁篩選過濾模塊，該模塊接受網(wǎng)頁數(shù)據(jù)之后，獲得其參數(shù)數(shù)據(jù)，并將其傳遞給XML解析器驗證，驗證成功方可進行下一步操作，否則將向用戶端回傳錯誤信息；之后輸入數(shù)據(jù)傳遞給MAC模塊，校驗數(shù)據(jù)完整性，數(shù)據(jù)完好，可進行下一步操作，否則回傳錯誤信息；數(shù)據(jù)完整性校驗完畢，傳遞給網(wǎng)站應用程序，網(wǎng)站應用程序回傳Cookies 和HTML數(shù)據(jù)，提取HTML數(shù)據(jù)參數(shù)網(wǎng)址和窗體數(shù)據(jù)傳給MAC處理模塊，生成信息驗證碼，將其加入Cookie和HTML文件，回傳給客戶端。

網(wǎng)頁篩選過濾模塊讀取參數(shù)名稱，判斷該網(wǎng)頁是否有待處理表單，如果沒有參數(shù)名稱則不做處理，有參數(shù)名稱，表示有待處理表單，則逐一提取字段值、Cookies信息，XML解析驗證。該功能能夠過濾和分析網(wǎng)頁，實現(xiàn)流程控制、其他功能模塊調用和安全校驗等功能。

3　結語

信息化進程不斷加快，網(wǎng)絡進入了生產(chǎn)生活的方方面面，為人們提供了更加便捷的服務，網(wǎng)絡商務行為也更加普遍，電子商務、網(wǎng)絡營銷等網(wǎng)絡商業(yè)行為對網(wǎng)絡安全性的要求越來越高，為了保護網(wǎng)絡信息，需要采取有效的對策解決網(wǎng)站建設網(wǎng)頁設計中存在的各種安全缺陷，進一步提高網(wǎng)站運行安全性和穩(wěn)定性。

[1]宋鎮(zhèn).基于網(wǎng)站建設中網(wǎng)頁設計的安全問題的思考[J].無線互聯(lián)科技，2012（4）：31.

[2]邢太北.分析網(wǎng)站建設中網(wǎng)頁設計的安全缺陷及對策[J].計算機光盤軟件與應用，2012（15）：237-238.

[3]程文彬.基于網(wǎng)站建設中網(wǎng)頁設計的安全缺陷及對策[J].電子科技大學學報，2013（6）711-713.

[4]徐曉丹.網(wǎng)站建設中網(wǎng)頁設計的安全缺陷及對策分析[J].電子制作，2014（21）：145-146.

[5]王洪海.試析網(wǎng)站建設中網(wǎng)頁設計的安全缺陷與解決策略[J].電子制作，2015（1）：83-84.

[6]佚名.自動化技術、計算機技術[J].中國無線電電子學文摘，2014（4）：120-122.

[7]彭晶，王鵬，趙媛媛，等.網(wǎng)站建設中網(wǎng)頁設計的安全漏洞及解決對策[J].科技信息（學術研究版），2013（25）：77-78.

[8]范翠玲.我國高校圖書館主頁建設中存在的問題與對策[J].圖書館學研究，2014（3）：35-38.

Analysis of security flaws and countermeasures of web page design in website construction

Qian Neng, Yang Jie
（Chongqing Creation Vocational College, Chongqing 402160, China）

This paper mainly carried on the research of security defects and countermeasures of sites in the construction of web design, and analyzed the causes and hazards of web design security defects, and gave coping strategies of several common web design security deficiencies.

website construction; web design; security defects

錢能（1979— ），男，重慶，本科，講師；研究方向：計算機應用技術，軟件開發(fā)，職業(yè)教育。