当前位置: 首页 > 网站动态网站动态

网站建设中网页设计的安全缺陷及对策分析

来源:沈阳志鼎科技 2018-08-27 访问量:1012

近些年网络技术突飞猛进,人们的工作生活都离不开网络,更多的企业以及机关单位都开始自行建设网站从事网络宣传和商务活动,在简化业务流程,提高效率,拓宽业务渠道,方便工作生活的同时,网络安全问题也日益突出,研究网站建设网页设计安全缺陷和对策十分必要。

1 网页设计安全缺陷

1.1 网站建设

网络技术快速发展,网络安全技术逐渐完善,黑客攻击技术也不断更新换代,更加先进,黑客行为从单纯恶意攻击逐渐转变为商业机密以及个人隐私的窃取,针对网站的攻击越来越多,设计人员在网站设计工作中要对其安全问题充分重视,了解网站建设网页设计中存在的各种安全缺陷,并在网页设计工作中找寻有效的措施予以解决,提高网站网页的安全性。网站建设的基本流程主要有需求分析、美工设计、程序开发、网站发布运营等几个步骤,需要设计开发很多配套辅助程序,其中网页设计有着自身的特殊性,程序的安全漏洞更多,安全威胁也严重。

1.2 网页设计

网站建设的目的是为企业和用户、政府机关和群众提供便捷的沟通桥梁,利用网站为用户和群众提供产品信息、政策信息,并搜集用户和群众的反馈信息,加深用户和群众对企业以及政府机关的了解。尤其是电子商务网站,除了信息沟通之外,还兼具宣传产品、网络营销等商业用途,能够为企业提供展示自身产品的平台,从而进一步提高自身产品的知名度,为达成交易创造机会,加快企业发展。网页设计是网站建设的核心内容之一,网页设计质量的好坏对网站建设的整体质量有较大的影响,是网站建设水平的一个缩影,也是网站建设的最终展示效果,经过多年发展,网页设计技术已经逐渐发展成熟,形成了多种便利的编程工具,网页设计的效率更高,最终表现效果也更生动,给网站开发人员提供了有力的技术支持。

1.3 网页设计安全缺陷威胁

现阶段,网页设计中应用最为广泛的服务器端网页设计技术主要有动态服务器页面(Active Server Page,ASP),Java服务器页面(Java Server Pages,JSP)以及超文本预处理器(Hypertext Preprocessor,PHP)等几类,利用脚本语言,就能够高效管理网站资源,网站使用者和网站之间的交互性更强,功能更加多样、直观、简洁。如果网页设计中存在语言编程问题,用户在使用过程中就会逐渐形成安全漏洞,为不法分子利用,就可能给企业造成间接和直接损失。用户输入信息不可控,信息不确定性很大,网页设计开发人员需要充分考虑到这个问题,详细全面分析用户信息,避免非法信息输入损害网站安全。网页脚本语言编辑和服务器之间有着密切的数据连接,关系到网站设置和服务器数据,网页设计中的漏洞会影响网站的安全性,增加数据被窃取的风险。

2 网页设计安全缺陷应对措施

网页设计中的安全缺陷会降低网站的安全性能,威胁企业隐私数据安全,现阶段,网页设计中存在的安全缺陷主要包括Web安全加固、桌面数据库泄密和文件上传漏洞等几方面。

2.1 Web安全加固

常规安全设备不能抵御应用层攻击,因此互联网厂商提供了应用层防火墙,以硬件的方式抵御网络攻击,针对SQL注入式攻击能够提供数据拦截功能。但是针对网页篡改的攻击方法多种多样,攻击者会想方设法获取系统操作权限并进行违法操作。为了避免网页篡改,设计网页时要采取措施避免被篡改的网页流出服务器,同时加固网页使其不容易被修改。当前市场上防SQL服务以硬件的方式实现,而网页防篡改则通过网页设计和应用程序进行,两种防护功能的相互整合程度不高。为了整合两种功能,在内核层面,可以将文件目录以及内容修改行为封装在内核入口中,系统利用层次拦截服务验证修改操作的合法性,非法操作拒绝其调用函数进入内核,并记录攻击拦截日志;系统层面,在受保护页面和文件目录对应内核中设置防修改Incode节点位;应用层则利用事件触发保护策略监控网页文件和目录,建立多层安全加固体系,保护网页安全。

2.2 逃避验证/文件上传

用户知道网页文件名、路径,就有可能逃避验证,威胁网站安全。网页如果没有设置用户登录限制,用户就可能直接将网页文件名输入网页,无需进行登录验证就能够获取网页内容,降低了网站的安全性。为了避免用户逃避验证,网页设计开发人员需要注意保护网页信息,加密网页文件名、路径,重要网站内容设置用户身份验证,用户需要验证身份之后再登录相关页面,获取信息,从而进一步提高网页安全性。

很多网站都设计了上传文件功能,视频网站用户可以自行上传视频,网盘用户可以上传自己的各类文件,虽然给用户带来了便捷和更多丰富的功能,但也给网站安全性带来了很大考验。一些网站设计开发工作人员在网页设计中忽视了上传文件的安全性问题,没有添加过滤功能,或者过滤参数设置不合理,一些不法分子利用文件上传功能,上传恶意文件,潜入网站数据库系统进行破坏或者信息窃取。为了提高网站文件上传的安全性,网站网页设计应该设置判断程序,系统接收文件上传请求之后首先分析判别其安全性,确认其为无威胁文件之后方可完成上传操作,从而有效避免非法文件、木马病毒上传到网站,提高系统安全性。

2.3 数据库下载/源代码泄露

桌面数据库被下载是另一个严重的网页设计缺陷,ASP+Access应用系统更容易出现这个问题。用户在一般情况下需要通过网站的用户登录和身份验证之后方可下载网站相关信息,但是在知道Access数据库名称、路径之后,数据库中的信息就可以随意下载,导致数据库机密敏感信息泄密,给企业带来损失。例如图书馆管理系统数据库名称为Library.mdb,路径为URL/database,浏览器中输入URL/ database/Library.mdb,就能够直接下载该数据库中的信息。为了保护数据库信息,ASP程序设计首选开放数据库互连(Open Database Connectivity,ODBC)数据源,该数据源不将数据库名称直接写入程序中,不会出现ASP源代码和数据库名称一同丢失的情况,除此之外,还应该进行页面的加密处理和数据库信息加密处理,保护数据库内部资料。

源代码泄露也严重威胁着网站的安全,网站建设网页设计中为了避免源代码泄露,网站页面代码都需要加密处理,从而保护源代码,提高网站安全性能。常见的ASP加密方法主要有编程逻辑封装和ASP页面加密两种,其中Script Encoder ASP页面加密更加常用,有着理想的可编程性,嵌入HTML页面中的ASP代码仍然可以使用常用的Dreamweaver等网页编辑工具完善HTML部分,加密目录内所有ASP文件并统一输出至指定目录,操作简单,安全性高。

2.4 网页筛选过滤

网站服务器提供了过滤转送机制,方便网页设计开发工作人员额外筛选处理网页数据,该机制能够于网站服务器外挂命令文件并编译执行,利用网站服务设定,可以转移网页输入数据至网页筛选过滤模块,该模块接受网页数据之后,获得其参数数据,并将其传递给XML解析器验证,验证成功方可进行下一步操作,否则将向用户端回传错误信息;之后输入数据传递给MAC模块,校验数据完整性,数据完好,可进行下一步操作,否则回传错误信息;数据完整性校验完毕,传递给网站应用程序,网站应用程序回传Cookies 和HTML数据,提取HTML数据参数网址和窗体数据传给MAC处理模块,生成信息验证码,将其加入Cookie和HTML文件,回传给客户端。

网页筛选过滤模块读取参数名称,判断该网页是否有待处理表单,如果没有参数名称则不做处理,有参数名称,表示有待处理表单,则逐一提取字段值、Cookies信息,XML解析验证。该功能能够过滤和分析网页,实现流程控制、其他功能模块调用和安全校验等功能。

3 结语

信息化进程不断加快,网络进入了生产生活的方方面面,为人们提供了更加便捷的服务,网络商务行为也更加普遍,电子商务、网络营销等网络商业行为对网络安全性的要求越来越高,为了保护网络信息,需要采取有效的对策解决网站建设网页设计中存在的各种安全缺陷,进一步提高网站运行安全性和稳定性。

客服
客服