網(wǎng)頁(yè)設(shè)計(jì)安全缺陷與分析

時(shí)間:2022-02-01 03:45:44

導(dǎo)語(yǔ):網(wǎng)頁(yè)設(shè)計(jì)安全缺陷與分析一文來(lái)源于網(wǎng)友上傳,不代表本站觀(guān)點(diǎn),若需要原創(chuàng)文章可咨詢(xún)客服老師,歡迎參考。

網(wǎng)頁(yè)設(shè)計(jì)安全缺陷與分析

時(shí)間在不斷前進(jìn),而我們的科技也發(fā)展飛速,與我們生活緊密聯(lián)系的互聯(lián)網(wǎng)也在不斷改變,互聯(lián)網(wǎng)的基礎(chǔ)在于網(wǎng)站的建設(shè),而網(wǎng)站建設(shè)的基礎(chǔ)在于網(wǎng)頁(yè)設(shè)計(jì),網(wǎng)頁(yè)設(shè)計(jì)的優(yōu)秀與否對(duì)網(wǎng)站建設(shè)有一定的作用,沒(méi)有十全十美的事物,同樣網(wǎng)頁(yè)設(shè)計(jì)也會(huì)有自己的缺陷,它的缺陷往往在于安全問(wèn)題,很多網(wǎng)頁(yè)由于設(shè)計(jì)存在安全的問(wèn)題經(jīng)常會(huì)被黑客、病毒等所侵襲,結(jié)果就是會(huì)給企業(yè)的經(jīng)濟(jì)帶來(lái)一些不利的影響。這篇文章目的在于對(duì)網(wǎng)頁(yè)建設(shè)的網(wǎng)頁(yè)設(shè)計(jì)的安全缺陷進(jìn)行分析,并給出相對(duì)的一些建議。我們生活在21世紀(jì),現(xiàn)在每個(gè)人的生活幾乎都與互聯(lián)網(wǎng)有聯(lián)系,互聯(lián)網(wǎng)已與我們的生活融會(huì)貫通,互聯(lián)網(wǎng)的發(fā)展對(duì)于個(gè)人還有很多企業(yè)及事業(yè)單位等都有益處。而利用互聯(lián)網(wǎng)已被絕大多數(shù)人使用這個(gè)特點(diǎn),企業(yè)等單位都會(huì)運(yùn)行自己?jiǎn)为?dú)的網(wǎng)站進(jìn)行自己的宣傳進(jìn)而達(dá)到自己的目的,這種做法不僅提高了辦事效率,而且也減少了辦事的復(fù)雜程度。有利必有弊,呼之欲出的問(wèn)題就是網(wǎng)站建設(shè)中網(wǎng)頁(yè)設(shè)計(jì)的安全問(wèn)題,安全問(wèn)題涉及了許多信息,除了企業(yè)用戶(hù)的私人信息外,也包含一些企業(yè)內(nèi)部工作的重要信息,所以安全缺陷是必須需要重要分析和修復(fù)的。否則面對(duì)的問(wèn)題就是網(wǎng)站由于安全缺陷被入侵,嚴(yán)重的入侵將會(huì)影響到企業(yè),對(duì)企業(yè)的利益造成不可估計(jì)的損失。

一、網(wǎng)站建設(shè)中網(wǎng)頁(yè)安全的重要性

互聯(lián)網(wǎng)科技不斷進(jìn)步,網(wǎng)站建設(shè)也在不斷創(chuàng)新和改進(jìn),網(wǎng)站的建設(shè)是由兼有各種不相同功能的網(wǎng)頁(yè)所構(gòu)成,它們共同形成了網(wǎng)站的建設(shè)。而從形式上劃分,網(wǎng)頁(yè)分為兩種,即靜態(tài)和動(dòng)態(tài),靜態(tài)網(wǎng)頁(yè)相對(duì)而言是比較早期的一種技術(shù),它的形式已經(jīng)過(guò)時(shí),人們?cè)L問(wèn)瀏覽器,進(jìn)入后的網(wǎng)頁(yè)是已經(jīng)設(shè)計(jì)完成的,看到的內(nèi)容都是靜態(tài)的,包括網(wǎng)頁(yè)中常見(jiàn)的文字和圖片,沒(méi)有動(dòng)畫(huà)模式那么用戶(hù)訪(fǎng)問(wèn)網(wǎng)頁(yè)時(shí)會(huì)產(chǎn)生枯燥感,在網(wǎng)頁(yè)的修改方面,也都是需要人工完成,人工的完善是有限的,種種因素使得靜態(tài)網(wǎng)頁(yè)逐漸淘汰。而隨著網(wǎng)絡(luò)的發(fā)展,現(xiàn)在的網(wǎng)絡(luò)建設(shè)演變成了動(dòng)態(tài)形式,動(dòng)態(tài)形式的網(wǎng)頁(yè)也適合于現(xiàn)在的時(shí)代,在動(dòng)態(tài)網(wǎng)頁(yè)中,網(wǎng)頁(yè)隨著人們的操作而發(fā)生變化,從而得到所要的信息,滿(mǎn)足人們的需求。海量的腳本語(yǔ)言運(yùn)用在了網(wǎng)頁(yè)設(shè)計(jì)中,如C++、JAVA,這些腳本語(yǔ)言的發(fā)展具有程式化,它們作用于網(wǎng)站資源的高效管理,動(dòng)態(tài)的網(wǎng)頁(yè)使網(wǎng)站的工作效率得到了提高。但是,如果腳本的語(yǔ)言的編程出現(xiàn)了安全性問(wèn)題,那么要及時(shí)解決,反之這些問(wèn)題一旦嚴(yán)重,企業(yè)方面則會(huì)遭受損失。

二、網(wǎng)站建設(shè)

網(wǎng)絡(luò)建設(shè)在不斷發(fā)展,建設(shè)過(guò)程雖逐漸完善,但還未成熟。所以在網(wǎng)站建設(shè)的過(guò)程以及以后的完善中,都需要網(wǎng)站工作人員極其看重這個(gè)問(wèn)題。在這個(gè)不斷變化且復(fù)雜的社會(huì)中,之前只是想抱有好奇心或滿(mǎn)足成就感的不法分子已經(jīng)悄悄進(jìn)化為專(zhuān)門(mén)盜取商業(yè)的保密文件和侵犯?jìng)€(gè)人的隱私的不安居心的部分人群。在這樣的環(huán)境下,就需要設(shè)計(jì)人員對(duì)設(shè)計(jì)的網(wǎng)頁(yè)的安全缺陷加以熟悉,進(jìn)而及時(shí)修復(fù)改進(jìn),達(dá)到提高網(wǎng)站安全性的目的。對(duì)于網(wǎng)絡(luò)建設(shè)來(lái)說(shuō),它包括對(duì)用戶(hù)的需求進(jìn)行分析,對(duì)網(wǎng)站的界面進(jìn)行美化并設(shè)計(jì),對(duì)相關(guān)程序進(jìn)行進(jìn)一步的研發(fā),最后設(shè)計(jì)的網(wǎng)站并進(jìn)行運(yùn)營(yíng)。這些過(guò)程還需要加上非常多的復(fù)雜的配置,最終形成網(wǎng)站。

三、網(wǎng)頁(yè)設(shè)計(jì)的安全缺陷

網(wǎng)頁(yè)設(shè)計(jì)本身有個(gè)特點(diǎn),那就是具有特殊性。任何事物有利有弊,一方面網(wǎng)站設(shè)計(jì)有利于企業(yè)和用戶(hù)本身,企業(yè)通過(guò)網(wǎng)站和用戶(hù)交流溝通,也達(dá)到了自己的相關(guān)活動(dòng)宣傳效果。而用戶(hù)進(jìn)入網(wǎng)站,很方便的瀏覽和訪(fǎng)問(wèn)自己需要的相關(guān)信息。但是另一方面,網(wǎng)站自身的安全缺陷和站外準(zhǔn)備有機(jī)可乘的黑客都對(duì)于網(wǎng)站運(yùn)行的安全性具有威脅性。下面是七種網(wǎng)站建設(shè)中網(wǎng)頁(yè)設(shè)計(jì)主要的相對(duì)具體安全缺陷。1.登錄驗(yàn)證時(shí)的安全缺陷。當(dāng)用戶(hù)進(jìn)入一個(gè)網(wǎng)站時(shí),往往會(huì)注冊(cè)一個(gè)賬戶(hù),進(jìn)行填寫(xiě)信息并登錄,用戶(hù)建立個(gè)人賬號(hào)目的是希望自己的個(gè)人信息得以保護(hù),自己的個(gè)人利益不被損害。而另一方面,用戶(hù)注冊(cè)登錄賬號(hào),對(duì)企業(yè)來(lái)說(shuō),有益于本企業(yè)對(duì)相關(guān)用戶(hù)信息的掌控,也使得企業(yè)在開(kāi)展一些工作活動(dòng)時(shí)非常方便。那么在用戶(hù)登錄的過(guò)程中,必要的環(huán)節(jié)就是驗(yàn)證和確認(rèn)用戶(hù)信息的正確性。對(duì)于整個(gè)網(wǎng)站的運(yùn)行來(lái)說(shuō),登錄驗(yàn)證可以說(shuō)是很小的一部分,但是卻是整個(gè)網(wǎng)站的一個(gè)必要的安全通道。但是這個(gè)小通道卻常常被網(wǎng)站的開(kāi)發(fā)者所忽視掉,隨之登錄驗(yàn)證的安全性也降低,網(wǎng)站的穩(wěn)定性也減弱,繼而有了登錄驗(yàn)證的安全缺陷,這也使一些居心不良的人鉆了空隙,使網(wǎng)站安全性遭受影響,結(jié)果就是給企業(yè)帶來(lái)嚴(yán)重的利益影響。到現(xiàn)在為止來(lái)講,登錄驗(yàn)證安全問(wèn)題存在于許多網(wǎng)站中,網(wǎng)站開(kāi)發(fā)者對(duì)登錄驗(yàn)證程序分析的不徹底,編程的不謹(jǐn)慎,使得在登錄驗(yàn)證時(shí)對(duì)用戶(hù)賬號(hào)密碼出現(xiàn)錯(cuò)誤。當(dāng)一些不合法賬戶(hù)申請(qǐng)時(shí),網(wǎng)絡(luò)設(shè)計(jì)工作人員可以設(shè)計(jì)限定注冊(cè),把這些賬戶(hù)過(guò)濾掉。2.躲避驗(yàn)證直接進(jìn)入網(wǎng)頁(yè)的安全缺陷。一些用戶(hù)在進(jìn)入網(wǎng)頁(yè)時(shí),對(duì)于網(wǎng)頁(yè)設(shè)計(jì)很熟悉,了解網(wǎng)頁(yè)設(shè)計(jì)界面的很多文件位置,網(wǎng)頁(yè)設(shè)計(jì)對(duì)用戶(hù)登錄驗(yàn)證不受限,那么當(dāng)用戶(hù)想瀏覽訪(fǎng)問(wèn)自己想要的信息時(shí),就會(huì)跳過(guò)登錄驗(yàn)證環(huán)節(jié),直接填寫(xiě)文件的位置信息,就能輕松達(dá)到目的。這也是網(wǎng)頁(yè)設(shè)計(jì)的安全缺陷,避免缺陷的發(fā)生,就需要網(wǎng)站開(kāi)發(fā)者制作嚴(yán)謹(jǐn),提高網(wǎng)頁(yè)信息的安全性,使相關(guān)數(shù)據(jù)得以保護(hù)。這也需要設(shè)計(jì)網(wǎng)頁(yè)的相關(guān)人員設(shè)計(jì)用戶(hù)信息驗(yàn)證的環(huán)節(jié),減少網(wǎng)站安全漏洞,提高網(wǎng)站的安全性。3.桌面數(shù)據(jù)庫(kù)安全缺陷。通常情況下,用戶(hù)都可以擁有網(wǎng)站中部分信息下載的權(quán)利。在桌面數(shù)據(jù)庫(kù)中,應(yīng)用系統(tǒng)ASP+Access發(fā)生的安全缺陷占據(jù)大部分,與逃避登錄驗(yàn)證問(wèn)題而訪(fǎng)問(wèn)網(wǎng)頁(yè)相似,假如用戶(hù)對(duì)Access數(shù)據(jù)庫(kù)中的數(shù)據(jù)庫(kù)名和存儲(chǔ)路徑所熟悉,那么用自己的電腦可以把數(shù)據(jù)庫(kù)中的其他信息直接下載下來(lái),儲(chǔ)存于自己的電腦中,這種行為就會(huì)造成了網(wǎng)站數(shù)據(jù)的泄露。于是,在網(wǎng)站程序員設(shè)計(jì)網(wǎng)站時(shí),提倡相關(guān)工作人員運(yùn)用ODBC數(shù)據(jù)源在ASP程序中,這種做法可以降低數(shù)據(jù)庫(kù)信息的危險(xiǎn)性,從而保護(hù)ASP數(shù)據(jù)庫(kù)中的信息。加入使用ODBC數(shù)據(jù)庫(kù)后,如果ASP數(shù)據(jù)庫(kù)有信息曝光的問(wèn)題,那么也不會(huì)對(duì)數(shù)據(jù)庫(kù)名稱(chēng)有任何損害,為用戶(hù)營(yíng)造了一個(gè)良好的網(wǎng)絡(luò)環(huán)境。4.上傳文件時(shí)的安全缺陷。類(lèi)似于擁有巨大用戶(hù)量的郵箱系統(tǒng)的網(wǎng)站都具有的基本功能,對(duì)于上傳方面來(lái)說(shuō),可以進(jìn)行文件、圖片等的上傳,從而使用戶(hù)與用戶(hù)之間進(jìn)行相互溝通,而企業(yè)把文件上傳到網(wǎng)站上后,使企業(yè)與用戶(hù)之間有所交流。大量的用戶(hù)使用不同的網(wǎng)站進(jìn)行交流,巨量的用戶(hù)信息使得網(wǎng)站設(shè)計(jì)工作者對(duì)用戶(hù)缺失了分析和篩選,也給了不法分子襲擊網(wǎng)站的機(jī)會(huì),抓住這一弱點(diǎn),他們把有害的文件信息上傳到網(wǎng)站上,進(jìn)而損害有關(guān)的數(shù)據(jù),增加網(wǎng)站的危險(xiǎn)性。為了避免這種問(wèn)題出現(xiàn),這就需要網(wǎng)站設(shè)計(jì)相關(guān)工作人員添加上只允許上傳指定文件類(lèi)型篩選系統(tǒng),在用戶(hù)上傳文件時(shí),對(duì)用戶(hù)上傳的文件類(lèi)型進(jìn)行判斷,不符合就需要制止。舉個(gè)例子,比如當(dāng)用戶(hù)進(jìn)行圖片上傳時(shí),只允許JPG格式的通過(guò),其他的圖片格式一律禁止上傳。5.源代碼泄露的安全缺陷。為了減少整個(gè)網(wǎng)站的危險(xiǎn)性,在進(jìn)行網(wǎng)站建設(shè)的網(wǎng)頁(yè)設(shè)計(jì)時(shí),需要網(wǎng)站相關(guān)工作人員加以保護(hù)頁(yè)面代碼,而保護(hù)的實(shí)際目標(biāo)是源代碼。通常情況下對(duì)于ASP網(wǎng)頁(yè)加密的方法分為兩種:一種是防止有關(guān)信息損失,把編程邏輯進(jìn)行組件,然后裝到DLL中去,這種方法不予采用,首先操作非常麻煩,其次是具有較大的工作量。另一種加密方法是運(yùn)用ScriptEncoder這種微軟技術(shù),這種方法相對(duì)于第一種來(lái)說(shuō),優(yōu)點(diǎn)頗多,首先制作的效果顯而易件,然后就是具有簡(jiǎn)單的操作,極其方便。隨著時(shí)代的發(fā)展,優(yōu)勝劣汰,第一種方法已逐漸退出使用。就現(xiàn)在而言,更多網(wǎng)站設(shè)計(jì)人員使用的是微軟ScriptEncoder,而網(wǎng)站的安全性也大大提高。6.病毒在網(wǎng)站中的傳播。網(wǎng)站建設(shè)的網(wǎng)站設(shè)計(jì)中不可避免的是病毒的出現(xiàn),病毒有兩大特點(diǎn),一是感染性,二是自制性??萍荚诓粩嗲斑M(jìn),網(wǎng)站在不斷改變,同樣,在不斷改變和增加的還有病毒的種類(lèi)和數(shù)量。這個(gè)具有危險(xiǎn)的物體也大大降低了網(wǎng)站的安全性。病毒的入侵不可小覷,對(duì)于網(wǎng)站本身,對(duì)于后面的終端服務(wù)器來(lái)說(shuō),都具有極大的危險(xiǎn)。假如病毒入侵到了網(wǎng)站的終端服務(wù)器,那么整個(gè)網(wǎng)站都會(huì)受到危險(xiǎn),網(wǎng)站不會(huì)再進(jìn)行正常的運(yùn)營(yíng),相關(guān)企業(yè)會(huì)遭受極大的損失。7.某些網(wǎng)站沒(méi)有進(jìn)行受權(quán)。在網(wǎng)站建設(shè)的網(wǎng)站設(shè)計(jì)中,網(wǎng)站是由很多相對(duì)比較復(fù)雜的配置和環(huán)節(jié)相配合和組件完成的,網(wǎng)站設(shè)計(jì)的工作人設(shè)計(jì)采用的方法也比較眾多。也正是因?yàn)檫@些多種配置的結(jié)合,所以有太多安全問(wèn)題存在于網(wǎng)站中。因此,躲在背后的黑客就趁這個(gè)機(jī)會(huì),攻擊網(wǎng)站的內(nèi)部,使網(wǎng)站置于危險(xiǎn)中。類(lèi)似于具有安全問(wèn)題的應(yīng)用軟件、密碼設(shè)置簡(jiǎn)易的系統(tǒng)等等,都是不良分子進(jìn)入的機(jī)會(huì)。那么進(jìn)行建設(shè)設(shè)計(jì)的時(shí)候,要考慮對(duì)一些網(wǎng)站的受權(quán)問(wèn)題,提高網(wǎng)站的安全性能。

四、結(jié)語(yǔ)

這個(gè)時(shí)代是數(shù)據(jù)信息化的時(shí)代,是互聯(lián)網(wǎng)的時(shí)代,更是不斷發(fā)展前進(jìn)的時(shí)代?;ヂ?lián)網(wǎng)普遍融入我們的生活,在網(wǎng)站建設(shè)的網(wǎng)站設(shè)計(jì)中,由于許多不同配置和環(huán)節(jié)的復(fù)雜結(jié)合,會(huì)出現(xiàn)不同方面的安全問(wèn)題,這些安全缺陷被其他事物入侵,給網(wǎng)站帶來(lái)不利的影響,也會(huì)給相關(guān)企業(yè)帶來(lái)?yè)p失。所以,在網(wǎng)站進(jìn)行設(shè)計(jì)時(shí),需要網(wǎng)站設(shè)計(jì)工作人員進(jìn)行嚴(yán)謹(jǐn)?shù)乃伎寂c處理。如果有安全性問(wèn)題,需要進(jìn)行及時(shí)修復(fù),進(jìn)而提高網(wǎng)站的安全性,營(yíng)造一個(gè)美好的網(wǎng)絡(luò)環(huán)境。

作者:胡文利 單位:江西工業(yè)職業(yè)技術(shù)學(xué)院