欧美第一区,97中文字幕第十五页,久9热,AV午夜福利

您好,歡迎來(lái)到滁州鑫澤信息科技有限公司官網(wǎng)!

滁州網(wǎng)站建設(shè)中網(wǎng)頁(yè)設(shè)計(jì)的安全缺陷及對(duì)策分析

發(fā)布日期:2022-06-09 瀏覽次數(shù):19

近些年網(wǎng)絡(luò)技術(shù)突飛猛進(jìn),人們的工作生活都離不開網(wǎng)絡(luò),更多的企業(yè)以及機(jī)關(guān)單位都開始自行建設(shè)網(wǎng)站從事網(wǎng)絡(luò)宣傳和商務(wù)活動(dòng),在簡(jiǎn)化業(yè)務(wù)流程,拓寬業(yè)務(wù)渠道,方便工作生活的同時(shí),網(wǎng)絡(luò)安全問(wèn)題也日益突出,研究網(wǎng)站建設(shè)中網(wǎng)頁(yè)設(shè)計(jì)安全缺陷和對(duì)策十分必要。


1 網(wǎng)頁(yè)設(shè)計(jì)安全缺陷


1.1 網(wǎng)站建設(shè)


網(wǎng)絡(luò)技術(shù)快速發(fā)展,網(wǎng)絡(luò)安全技術(shù)逐漸完善,黑客攻擊技術(shù)也不斷更新?lián)Q代,更加先進(jìn),黑客行為從單純惡意攻擊逐漸轉(zhuǎn)變?yōu)樯虡I(yè)機(jī)密以及個(gè)人隱私的竊取,針對(duì)網(wǎng)站的攻擊越來(lái)越多,設(shè)計(jì)人員在網(wǎng)站設(shè)計(jì)工作中要對(duì)其安全問(wèn)題充分重視,了解網(wǎng)站建設(shè)網(wǎng)頁(yè)設(shè)計(jì)中存在的各種安全缺陷,并在網(wǎng)頁(yè)設(shè)計(jì)工作中找尋有效的措施予以解決,提高網(wǎng)站網(wǎng)頁(yè)的安全性。網(wǎng)站建設(shè)的基本流程主要有需求分析、美工設(shè)計(jì)、程序開發(fā)、網(wǎng)站發(fā)布運(yùn)營(yíng)等幾個(gè)步驟,需要設(shè)計(jì)開發(fā)很多配套輔助程序,其中網(wǎng)頁(yè)設(shè)計(jì)有著自身的特殊性,程序的安全漏洞更多,安全威脅也嚴(yán)重。


1.2 網(wǎng)頁(yè)設(shè)計(jì)


網(wǎng)站建設(shè)的目的是為企業(yè)和用戶、政府機(jī)關(guān)和群眾提供便捷的溝通橋梁,利用網(wǎng)站為用戶和群眾提供產(chǎn)品信息、政策信息,并搜集用戶和群眾的反饋信息,加深用戶和群眾對(duì)企業(yè)以及政府機(jī)關(guān)的了解。尤其是電子商務(wù)網(wǎng)站,除了信息溝通之外,還兼具宣傳產(chǎn)品、網(wǎng)絡(luò)營(yíng)銷等商業(yè)用途,能夠?yàn)槠髽I(yè)提供展示自身產(chǎn)品的平臺(tái),從而進(jìn)一步提高自身產(chǎn)品的知名度,為達(dá)易創(chuàng)造機(jī)會(huì),加快企業(yè)發(fā)展。網(wǎng)頁(yè)設(shè)計(jì)是網(wǎng)站建設(shè)的核心內(nèi)容之一,網(wǎng)頁(yè)設(shè)計(jì)質(zhì)量的好壞對(duì)網(wǎng)站建設(shè)的整體質(zhì)量有較大的影響,是網(wǎng)站建設(shè)水平的一個(gè)縮影,也是網(wǎng)站建設(shè)的展示效果,經(jīng)過(guò)多年發(fā)展,網(wǎng)頁(yè)設(shè)計(jì)技術(shù)已經(jīng)逐漸發(fā)展成熟,形成了多種便利的編程工具,網(wǎng)頁(yè)設(shè)計(jì)的效率更高,表現(xiàn)效果也更生動(dòng),給網(wǎng)站開發(fā)人員提供了有力的技術(shù)支持。


1.3 網(wǎng)頁(yè)設(shè)計(jì)安全缺陷威脅


現(xiàn)階段,網(wǎng)頁(yè)設(shè)計(jì)中應(yīng)用的服務(wù)器端網(wǎng)頁(yè)設(shè)計(jì)技術(shù)主要有動(dòng)態(tài)服務(wù)器頁(yè)面(Active Server Page,ASP),Java服務(wù)器頁(yè)面(Java Server Pages,JSP)以及超文本預(yù)處理器(Hypertext Preprocessor,PHP)等幾類,利用腳本語(yǔ)言,就能夠管理網(wǎng)站資源,網(wǎng)站使用者和網(wǎng)站之間的交互性更強(qiáng),功能更加多樣、直觀、簡(jiǎn)潔。如果網(wǎng)頁(yè)設(shè)計(jì)中存在語(yǔ)言編程問(wèn)題,用戶在使用過(guò)程中就會(huì)逐漸形成安全漏洞,為不法分子利用,就可能給企業(yè)造成間接和直接損失。用戶輸入信息不可控,信息不確定性很大,網(wǎng)頁(yè)設(shè)計(jì)開發(fā)人員需要充分考慮到這個(gè)問(wèn)題,詳細(xì)全面分析用戶信息,避免非法信息輸入損害網(wǎng)站安全。網(wǎng)頁(yè)腳本語(yǔ)言編輯和服務(wù)器之間有著密切的數(shù)據(jù)連接,關(guān)系到網(wǎng)站設(shè)置和服務(wù)器數(shù)據(jù),網(wǎng)頁(yè)設(shè)計(jì)中的漏洞會(huì)影響網(wǎng)站的安全性,增加數(shù)據(jù)被竊取的風(fēng)險(xiǎn)。


2 網(wǎng)頁(yè)設(shè)計(jì)安全缺陷應(yīng)對(duì)措施


網(wǎng)頁(yè)設(shè)計(jì)中的安全缺陷會(huì)降低網(wǎng)站的安全性能,威脅企業(yè)隱私數(shù)據(jù)安全,現(xiàn)階段,網(wǎng)頁(yè)設(shè)計(jì)中存在的安全缺陷主要包括Web安全加固、桌面數(shù)據(jù)庫(kù)泄密和文件上傳漏洞等幾方面。


2.1 Web安全加固


常規(guī)安全設(shè)備不能抵御應(yīng)用層攻擊,因此互聯(lián)網(wǎng)廠商提供了應(yīng)用層防火墻,以硬件的方式抵御網(wǎng)絡(luò)攻擊,針對(duì)SQL注入式攻擊能夠提供數(shù)據(jù)攔截功能。但是針對(duì)網(wǎng)頁(yè)篡改的攻擊方法多種多樣,攻擊者會(huì)想方設(shè)法獲取系統(tǒng)操作權(quán)限并進(jìn)行違法操作。為了避免網(wǎng)頁(yè)篡改,設(shè)計(jì)網(wǎng)頁(yè)時(shí)要采取措施避免被篡改的網(wǎng)頁(yè)流出服務(wù)器,同時(shí)加固網(wǎng)頁(yè)使其不容易被修改。當(dāng)前市場(chǎng)上防SQL服務(wù)以硬件的方式實(shí)現(xiàn),而網(wǎng)頁(yè)防篡改則通過(guò)網(wǎng)頁(yè)設(shè)計(jì)和應(yīng)用程序進(jìn)行,兩種防護(hù)功能的相互整合程度不高。為了整合兩種功能,在內(nèi)核層面,可以將文件目錄以及內(nèi)容修改行為封裝在內(nèi)核入口中,系統(tǒng)利用層次攔截服務(wù)驗(yàn)證修改操作的合法性,非法操作拒絕其調(diào)用函數(shù)進(jìn)入內(nèi)核,并記錄攻擊攔截日志;系統(tǒng)層面,在受保護(hù)頁(yè)面和文件目錄對(duì)應(yīng)內(nèi)核中設(shè)置防修改Incode節(jié)點(diǎn)位;應(yīng)用層則利用事件觸發(fā)保護(hù)策略監(jiān)控網(wǎng)頁(yè)文件和目錄,建立多層安全加固體系,保護(hù)網(wǎng)頁(yè)安全。


2.2 逃避驗(yàn)證/文件上傳


用戶知道網(wǎng)頁(yè)文件名、路徑,就有可能逃避驗(yàn)證,威脅網(wǎng)站安全。網(wǎng)頁(yè)如果沒有設(shè)置用戶登錄限制,用戶就可能直接將網(wǎng)頁(yè)文件名輸入網(wǎng)頁(yè),無(wú)需進(jìn)行登錄驗(yàn)證就能夠獲取網(wǎng)頁(yè)內(nèi)容,降低了網(wǎng)站的安全性。為了避免用戶逃避驗(yàn)證,網(wǎng)頁(yè)設(shè)計(jì)開發(fā)人員需要注意保護(hù)網(wǎng)頁(yè)信息,加密網(wǎng)頁(yè)文件名、路徑,重要網(wǎng)站內(nèi)容設(shè)置用戶身份驗(yàn)證,用戶需要驗(yàn)證身份之后再登錄相關(guān)頁(yè)面,獲取信息,從而進(jìn)一步提高網(wǎng)頁(yè)安全性。


很多網(wǎng)站都設(shè)計(jì)了上傳文件功能,視頻網(wǎng)站用戶可以自行上傳視頻,網(wǎng)盤用戶可以上傳自己的各類文件,雖然給用戶帶來(lái)了便捷和更多豐富的功能,但也給網(wǎng)站安全性帶來(lái)了很大考驗(yàn)。一些網(wǎng)站設(shè)計(jì)開發(fā)工作人員在網(wǎng)頁(yè)設(shè)計(jì)中忽視了上傳文件的安全性問(wèn)題,沒有添加過(guò)濾功能,或者過(guò)濾參數(shù)設(shè)置不合理,一些不法分子利用文件上傳功能,上傳惡意文件,潛入網(wǎng)站數(shù)據(jù)庫(kù)系統(tǒng)進(jìn)行破壞或者信息竊取。為了提高網(wǎng)站文件上傳的安全性,網(wǎng)站網(wǎng)頁(yè)設(shè)計(jì)應(yīng)該設(shè)置判斷程序,系統(tǒng)接收文件上傳請(qǐng)求之后首先分析判別其安全性,確認(rèn)其為無(wú)威脅文件之后方可完成上傳操作,從而有效避免非法文件、木馬病毒上傳到網(wǎng)站,提高系統(tǒng)安全性。


2.3 數(shù)據(jù)庫(kù)下載/源代碼泄露


桌面數(shù)據(jù)庫(kù)被下載是另一個(gè)嚴(yán)重的網(wǎng)頁(yè)設(shè)計(jì)缺陷,ASP+Access應(yīng)用系統(tǒng)更容易出現(xiàn)這個(gè)問(wèn)題。用戶在一般情況下需要通過(guò)網(wǎng)站的用戶登錄和身份驗(yàn)證之后方可下載網(wǎng)站相關(guān)信息,但是在知道Access數(shù)據(jù)庫(kù)名稱、路徑之后,數(shù)據(jù)庫(kù)中的信息就可以隨意下載,導(dǎo)致數(shù)據(jù)庫(kù)機(jī)密敏感信息泄密,給企業(yè)帶來(lái)?yè)p失。例如圖書館管理系統(tǒng)數(shù)據(jù)庫(kù)名稱為L(zhǎng)ibrary.mdb,路徑為URL/database,瀏覽器中輸入U(xiǎn)RL/ database/Library.mdb,就能夠直接下載該數(shù)據(jù)庫(kù)中的信息。為了保護(hù)數(shù)據(jù)庫(kù)信息,ASP程序設(shè)計(jì)首選開放數(shù)據(jù)庫(kù)互連(Open Database Connectivity,ODBC)數(shù)據(jù)源,該數(shù)據(jù)源不將數(shù)據(jù)庫(kù)名稱直接寫入程序中,不會(huì)出現(xiàn)ASP源代碼和數(shù)據(jù)庫(kù)名稱一同丟失的情況,除此之外,還應(yīng)該進(jìn)行頁(yè)面的加密處理和數(shù)據(jù)庫(kù)信息加密處理,保護(hù)數(shù)據(jù)庫(kù)內(nèi)部資料。


源代碼泄露也嚴(yán)重威脅著網(wǎng)站的安全,網(wǎng)站建設(shè)網(wǎng)頁(yè)設(shè)計(jì)中為了避免源代碼泄露,網(wǎng)站頁(yè)面代碼都需要加密處理,從而保護(hù)源代碼,提高網(wǎng)站安全性能。常見的ASP加密方法主要有編程邏輯封裝和ASP頁(yè)面加密兩種,其中Script Encoder ASP頁(yè)面加密更加常用,有著理想的可編程性,嵌入HTML頁(yè)面中的ASP代碼仍然可以使用常用的Dreamweaver等網(wǎng)頁(yè)編輯工具完善HTML部分,加密目錄內(nèi)所有ASP文件并統(tǒng)一輸出至指定目錄,操作簡(jiǎn)單,安全性高。


2.4 網(wǎng)頁(yè)篩選過(guò)濾


網(wǎng)站服務(wù)器提供了過(guò)濾轉(zhuǎn)送機(jī)制,方便網(wǎng)頁(yè)設(shè)計(jì)開發(fā)工作人員額外篩選處理網(wǎng)頁(yè)數(shù)據(jù),該機(jī)制能夠于網(wǎng)站服務(wù)器外掛命令文件并編譯執(zhí)行,利用網(wǎng)站服務(wù)設(shè)定,可以轉(zhuǎn)移網(wǎng)頁(yè)輸入數(shù)據(jù)至網(wǎng)頁(yè)篩選過(guò)濾模塊,該模塊接受網(wǎng)頁(yè)數(shù)據(jù)之后,獲得其參數(shù)數(shù)據(jù),并將其傳遞給XML解析器驗(yàn)證,驗(yàn)證成功方可進(jìn)行下一步操作,否則將向用戶端回傳錯(cuò)誤信息;之后輸入數(shù)據(jù)傳遞給MAC模塊,校驗(yàn)數(shù)據(jù)完整性,數(shù)據(jù)完好,可進(jìn)行下一步操作,否則回傳錯(cuò)誤信息;數(shù)據(jù)完整性校驗(yàn)完畢,傳遞給網(wǎng)站應(yīng)用程序,網(wǎng)站應(yīng)用程序回傳Cookies 和HTML數(shù)據(jù),提取HTML數(shù)據(jù)參數(shù)網(wǎng)址和窗體數(shù)據(jù)傳給MAC處理模塊,生成信息驗(yàn)證碼,將其加入Cookie和HTML文件,回傳給客戶端。


網(wǎng)頁(yè)篩選過(guò)濾模塊讀取參數(shù)名稱,判斷該網(wǎng)頁(yè)是否有待處理表單,如果沒有參數(shù)名稱則不做處理,有參數(shù)名稱,表示有待處理表單,則逐一提取字段值、Cookies信息,XML解析驗(yàn)證。該功能能夠過(guò)濾和分析網(wǎng)頁(yè),實(shí)現(xiàn)流程控制、其他功能模塊調(diào)用和安全校驗(yàn)等功能。


你覺得這篇文章怎么樣?

0 0
標(biāo)簽:全部
 更多
網(wǎng)友評(píng)論

管理員

該內(nèi)容暫無(wú)評(píng)論

北美地區(qū)網(wǎng)友
查看更多 >>

推薦新聞