韋立蓉

摘要：當(dāng)前我國互聯(lián)網(wǎng)得到了普及發(fā)展，以此為基礎(chǔ)的電子商務(wù)和企業(yè)內(nèi)部商業(yè)網(wǎng)站也都建立起來。網(wǎng)頁設(shè)計是網(wǎng)站建設(shè)過程中的重要環(huán)節(jié)，其安全問題對于整個網(wǎng)站建設(shè)都起到至關(guān)重要的作用。該文將對網(wǎng)站建設(shè)過程中常見的網(wǎng)頁設(shè)計安全問題進行分析，并提出相對應(yīng)的解決措施。

關(guān)鍵詞：網(wǎng)站建設(shè)；網(wǎng)頁設(shè)計；安全問題；探討

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2017）29-0031-02

互聯(lián)網(wǎng)技術(shù)的發(fā)展為人們的生產(chǎn)和生活帶來了諸多便利，但是隨著計算機的逐漸普及，針對計算機網(wǎng)絡(luò)的攻擊行為也呈現(xiàn)出明顯的上升趨勢，這也使得設(shè)計人員在進行網(wǎng)頁設(shè)計的過程中必須要考慮到網(wǎng)絡(luò)安全問題。雖然已經(jīng)投入了一些入侵檢測軟件、企業(yè)防病毒軟件和防火墻軟件等，但是網(wǎng)絡(luò)仍然存在著被攻擊甚至是被控制的現(xiàn)象[1]。一個健全的網(wǎng)頁一般會涉及很多程序，而網(wǎng)頁設(shè)計自身具有特殊性，所以服務(wù)器和用戶之間的交互變得十分頻繁，用戶輸入信息內(nèi)容更是無法預(yù)測，所以如果網(wǎng)頁設(shè)計考慮不全面就有可能因為用戶輸入內(nèi)容而導(dǎo)致網(wǎng)頁受到攻擊。這就需要對網(wǎng)頁設(shè)計中存在的安全問題進行分析和探究。

1 網(wǎng)頁設(shè)計存在問題的原因及產(chǎn)生的危害

網(wǎng)站中一般會包含比較全面的企業(yè)信息，用戶可以借助于網(wǎng)站的相關(guān)信息來對企業(yè)產(chǎn)品和形象產(chǎn)生更加全面的認識，其實就是連接用戶和企業(yè)之間的有效工具，為兩者之間的活動提供了強有力的保障。網(wǎng)站不僅是企業(yè)實現(xiàn)現(xiàn)代化發(fā)展的需要，而且也是電子商務(wù)發(fā)展的重要實現(xiàn)途徑。網(wǎng)頁設(shè)計是企業(yè)網(wǎng)站中各項內(nèi)容的充分結(jié)合，所以網(wǎng)頁設(shè)計的質(zhì)量也對網(wǎng)站的使用效果產(chǎn)生直接影響。網(wǎng)頁設(shè)計技術(shù)中常見的腳本語言是PHP、ASP以及JSP等，為設(shè)計人員的工作開發(fā)提供了不少便利，而且也提高了網(wǎng)站資源管理的有效率，加強用戶和企業(yè)之間的溝通[2]。在相互交互的過程中，漏洞其實就已經(jīng)在慢慢形成了。這主要是因為瀏覽者在輸入信息的過程中存在一定的不確定性，如果程序設(shè)計過程中沒有考慮周全，就可能會使網(wǎng)頁受到攻擊，不管是有意還是無意，都會使用戶產(chǎn)生不好的體驗。

2 網(wǎng)站建設(shè)中網(wǎng)頁設(shè)計存在的安全問題分析

2.1 登錄驗證安全問題

人們在一些具有交互性質(zhì)的網(wǎng)站，如聊天軟件、會員區(qū)域以及論壇等，想要登陸往往需要驗證，雖然驗證只是整個網(wǎng)站運行過程中很小的一部分，但也是維護整個網(wǎng)站的一個安全之口[3]。一部分網(wǎng)絡(luò)設(shè)計者在網(wǎng)頁設(shè)計時很容易忽略掉這個關(guān)口。同時如果這個關(guān)口設(shè)計不好，也會使一些人有機可乘，從而導(dǎo)致一些不必要的損失發(fā)生。不少網(wǎng)站在安全關(guān)口設(shè)計過程中都存在登錄驗證方面的漏洞。

2.2 繞過驗證直接登錄安全問題

對于一些比較敏感的網(wǎng)絡(luò)頁面，用戶必須要進行身份驗證。但是如果用戶知道相關(guān)頁面設(shè)計的路徑和文件名，他們就會直接繞過登錄的界面，從而躲過身份驗證階段。進入到設(shè)計頁面，在這種情況下，網(wǎng)站設(shè)計人員所設(shè)計出的頁面應(yīng)該是需要對用戶的身份進行驗證的，從此使網(wǎng)頁頁面的安全可靠度得到提高。

2.3 網(wǎng)站非授權(quán)安全問題

網(wǎng)站設(shè)計過程中，程序設(shè)計人員一般會采用相對復(fù)雜的安全配置，主要是為了使網(wǎng)站的整體安全性得到提高，這樣也就導(dǎo)致在開展網(wǎng)絡(luò)服務(wù)的過程中存在比較大的安全缺陷，也給一些遠程黑客帶來了可乘之機，甚至可以直接侵入到網(wǎng)站的服務(wù)器內(nèi)部，為網(wǎng)站安全性帶來極大的威脅。網(wǎng)絡(luò)系統(tǒng)當(dāng)中的密碼簡短，應(yīng)用軟件存在缺陷等都會成為黑客攻入的突破口。

2.4 文件傳輸安全問題

交友網(wǎng)站等類似網(wǎng)上系統(tǒng)中一般都有些上傳文件的功能，企業(yè)的商業(yè)網(wǎng)站中也存在上傳文件的功能，這樣可以加強企業(yè)和用戶之間的交流溝通。但是在上傳的過程中網(wǎng)絡(luò)設(shè)計者對于上傳的文件缺少分析和過濾，不少惡意的攻擊者就會利用網(wǎng)站上的這個漏洞來上傳一些惡意的病毒文件等，這些文件會對系統(tǒng)的數(shù)據(jù)庫產(chǎn)生不同程度的破壞。一些網(wǎng)站的攻擊者使用web權(quán)限在整個網(wǎng)絡(luò)系統(tǒng)上執(zhí)行任何命令。

2.5 桌面數(shù)據(jù)庫安全問題分析

在傳統(tǒng)的ASP+Access系統(tǒng)當(dāng)中，網(wǎng)站一般會為用戶提供相應(yīng)的下載權(quán)限，然是如果用戶對于數(shù)據(jù)庫的名字和存儲路徑都比較熟悉，也能夠同時下載一些其他的信息，這樣就會導(dǎo)致數(shù)據(jù)流失現(xiàn)象的出現(xiàn)。

3 網(wǎng)站建設(shè)中網(wǎng)頁設(shè)計存在的安全問題的具體解決方法

3.1 登錄驗證問題解決方法

針對在登錄驗證方面存在的問題，可以通過下列方法來進行解決：通過設(shè)定注冊限制來避免一些違法賬戶申請賬號，這也是解決這個問題的主要途徑。另外在生成登錄查詢語句之前可以先對用戶的信息，比如用戶的名稱和密碼等進行基本的過濾，同時要避免使用非法賬號密碼。最后在驗證用戶的基本信息之前要先對用戶的用戶名進行驗證，即驗證用戶名是否合乎網(wǎng)站的規(guī)定，等到確定用戶名可用并且屬實之后再驗證密碼。

3.2 源代碼泄露問題解決方法

為了避免使源代碼被竊取，面臨信息泄露的風(fēng)險，網(wǎng)絡(luò)的開發(fā)設(shè)計者需要加密處理頁面代碼，這樣就會使網(wǎng)站的安全性能得到較大提高。ASP網(wǎng)頁一般通過微軟中的Script Encoder軟件來進行加密，使用組件技術(shù)將編程邏輯進行封裝，防止出現(xiàn)信息丟失的現(xiàn)象。和傳統(tǒng)的加密方案相比，此種加密方案的操作性更強，比較容易操作，將這種方法具體應(yīng)用在源代碼泄露問題的解決方面具有較好的效果。Script Encoder一般只會對頁面中所嵌入的ASP代碼進行加密，借助于一些常見的網(wǎng)絡(luò)編輯工具來修改和進一步完善HTML工具。Script Encoder的操作簡便性表現(xiàn)在它只需要簡單執(zhí)行幾個命令就可以完成一系列的操作。

3.3 文件上傳問題解決方法

針對一些惡意攻擊者可能會上傳一些病毒文件和惡意文件，需要在設(shè)計網(wǎng)頁的過程中加入專門的文件類型判斷模塊，這樣就能夠充分的分析和過濾用戶所上傳的文件，如果用戶想要上傳圖片，那么用戶所上傳的圖片格式必須是系統(tǒng)設(shè)置的圖片形式，比如：如果規(guī)定是GIF和JPG圖片，像是.EXE/.JSP/.PJP等格式的文件則不能被上傳。

3.4 桌面數(shù)據(jù)庫安全問題解決方法

當(dāng)前不少網(wǎng)絡(luò)圖書館的數(shù)據(jù)庫存儲路徑根目為URL/database。此種類型的數(shù)據(jù)庫一般會被命名為library.mbd，或者和其相關(guān)的一些名稱。用戶在了解了基本的信息之后就可以直接在瀏覽器當(dāng)中輸入胡和存儲根目相關(guān)的信息，就可以直接進入到網(wǎng)上圖書館，還可以將網(wǎng)上圖書館的信息直接下載到用戶個人電腦中。為了使桌面數(shù)據(jù)庫安全問題得到解決，需要在設(shè)計網(wǎng)站的過程中進行相應(yīng)的處理。比如ASP程序可以采用ODBC數(shù)據(jù)源，借助于此種類型的數(shù)據(jù)源就可以避免發(fā)生源代碼泄露的問題，數(shù)據(jù)庫名稱并不會因為盜竊而消失。比如使用一般數(shù)據(jù)庫所編寫的代碼在ASP源代碼失密之后，數(shù)據(jù)庫中的相關(guān)信息也會被竊取，這樣用戶就很容易的下載到數(shù)據(jù)庫中的信息，然是如果ASP程序代碼采用ODBC數(shù)據(jù)庫來進行編寫，那么即便是源代碼出現(xiàn)了泄露，數(shù)據(jù)庫的名稱也不會因為竊取而出現(xiàn)流失現(xiàn)象。

4 總結(jié)

網(wǎng)頁設(shè)計師網(wǎng)站建設(shè)過程中的重要構(gòu)成部分，其安全性高低和網(wǎng)站整體的安全性直接相關(guān)。因此必須要針對網(wǎng)頁設(shè)計過程中存在的漏洞進行分析，并且針對問題提出相對應(yīng)的解決方案，這樣才可以使網(wǎng)站的安全性能得到提高，為用戶提供更優(yōu)質(zhì)的服務(wù)體驗。

參考文獻：

[1] 錢能，楊杰.網(wǎng)站建設(shè)中網(wǎng)頁設(shè)計的安全缺陷及對策分析[J].無線互聯(lián)科技，2016（20）：43-44.

[2] 徐曉丹.網(wǎng)站建設(shè)中網(wǎng)頁設(shè)計的安全缺陷及對策分析[J].電子制作，2014（21）：145-146.

[3] 宋鎮(zhèn).基于網(wǎng)站建設(shè)中網(wǎng)頁設(shè)計的安全問題的思考[J].無線互聯(lián)科技，2012（04）：31.endprint