網(wǎng)站建設(shè)中網(wǎng)頁設(shè)計(jì)的安全缺陷及對策分析

錢　能，楊　杰

（重慶科創(chuàng)職業(yè)學(xué)院，重慶 402160）

網(wǎng)站建設(shè)中網(wǎng)頁設(shè)計(jì)的安全缺陷及對策分析

錢能，楊杰

（重慶科創(chuàng)職業(yè)學(xué)院，重慶 402160）

文章主要研究網(wǎng)站建設(shè)中網(wǎng)頁設(shè)計(jì)的安全缺陷和對策，分析了網(wǎng)頁設(shè)計(jì)安全缺陷的成因和危害，并給出了幾種常見網(wǎng)頁設(shè)計(jì)安全缺陷的應(yīng)對策略。

網(wǎng)站建設(shè)；網(wǎng)頁設(shè)計(jì)；安全缺陷

近些年網(wǎng)絡(luò)技術(shù)突飛猛進(jìn)，人們的工作生活都離不開網(wǎng)絡(luò)，更多的企業(yè)以及機(jī)關(guān)單位都開始自行建設(shè)網(wǎng)站從事網(wǎng)絡(luò)宣傳和商務(wù)活動(dòng)，在簡化業(yè)務(wù)流程，提高效率，拓寬業(yè)務(wù)渠道，方便工作生活的同時(shí)，網(wǎng)絡(luò)安全問題也日益突出，研究網(wǎng)站建設(shè)中網(wǎng)頁設(shè)計(jì)安全缺陷和對策十分必要。

1　網(wǎng)頁設(shè)計(jì)安全缺陷

1.1網(wǎng)站建設(shè)

網(wǎng)絡(luò)技術(shù)快速發(fā)展，網(wǎng)絡(luò)安全技術(shù)逐漸完善，黑客攻擊技術(shù)也不斷更新?lián)Q代，更加先進(jìn)，黑客行為從單純惡意攻擊逐漸轉(zhuǎn)變?yōu)樯虡I(yè)機(jī)密以及個(gè)人隱私的竊取，針對網(wǎng)站的攻擊越來越多，設(shè)計(jì)人員在網(wǎng)站設(shè)計(jì)工作中要對其安全問題充分重視，了解網(wǎng)站建設(shè)網(wǎng)頁設(shè)計(jì)中存在的各種安全缺陷，并在網(wǎng)頁設(shè)計(jì)工作中找尋有效的措施予以解決，提高網(wǎng)站網(wǎng)頁的安全性。網(wǎng)站建設(shè)的基本流程主要有需求分析、美工設(shè)計(jì)、程序開發(fā)、網(wǎng)站發(fā)布運(yùn)營等幾個(gè)步驟，需要設(shè)計(jì)開發(fā)很多配套輔助程序，其中網(wǎng)頁設(shè)計(jì)有著自身的特殊性，程序的安全漏洞更多，安全威脅也嚴(yán)重。

1.2網(wǎng)頁設(shè)計(jì)

網(wǎng)站建設(shè)的目的是為企業(yè)和用戶、政府機(jī)關(guān)和群眾提供便捷的溝通橋梁，利用網(wǎng)站為用戶和群眾提供產(chǎn)品信息、政策信息，并搜集用戶和群眾的反饋信息，加深用戶和群眾對企業(yè)以及政府機(jī)關(guān)的了解。尤其是電子商務(wù)網(wǎng)站，除了信息溝通之外，還兼具宣傳產(chǎn)品、網(wǎng)絡(luò)營銷等商業(yè)用途，能夠?yàn)槠髽I(yè)提供展示自身產(chǎn)品的平臺，從而進(jìn)一步提高自身產(chǎn)品的知名度，為達(dá)成交易創(chuàng)造機(jī)會(huì)，加快企業(yè)發(fā)展。網(wǎng)頁設(shè)計(jì)是網(wǎng)站建設(shè)的核心內(nèi)容之一，網(wǎng)頁設(shè)計(jì)質(zhì)量的好壞對網(wǎng)站建設(shè)的整體質(zhì)量有較大的影響，是網(wǎng)站建設(shè)水平的一個(gè)縮影，也是網(wǎng)站建設(shè)的最終展示效果，經(jīng)過多年發(fā)展，網(wǎng)頁設(shè)計(jì)技術(shù)已經(jīng)逐漸發(fā)展成熟，形成了多種便利的編程工具，網(wǎng)頁設(shè)計(jì)的效率更高，最終表現(xiàn)效果也更生動(dòng)，給網(wǎng)站開發(fā)人員提供了有力的技術(shù)支持。

1.3網(wǎng)頁設(shè)計(jì)安全缺陷威脅

現(xiàn)階段，網(wǎng)頁設(shè)計(jì)中應(yīng)用最為廣泛的服務(wù)器端網(wǎng)頁設(shè)計(jì)技術(shù)主要有動(dòng)態(tài)服務(wù)器頁面（Active Server Page，ASP），Java服務(wù)器頁面（Java Server Pages，JSP）以及超文本預(yù)處理器（Hypertext Preprocessor，PHP）等幾類，利用腳本語言，就能夠高效管理網(wǎng)站資源，網(wǎng)站使用者和網(wǎng)站之間的交互性更強(qiáng)，功能更加多樣、直觀、簡潔。如果網(wǎng)頁設(shè)計(jì)中存在語言編程問題，用戶在使用過程中就會(huì)逐漸形成安全漏洞，為不法分子利用，就可能給企業(yè)造成間接和直接損失。用戶輸入信息不可控，信息不確定性很大，網(wǎng)頁設(shè)計(jì)開發(fā)人員需要充分考慮到這個(gè)問題，詳細(xì)全面分析用戶信息，避免非法信息輸入損害網(wǎng)站安全。網(wǎng)頁腳本語言編輯和服務(wù)器之間有著密切的數(shù)據(jù)連接，關(guān)系到網(wǎng)站設(shè)置和服務(wù)器數(shù)據(jù)，網(wǎng)頁設(shè)計(jì)中的漏洞會(huì)影響網(wǎng)站的安全性，增加數(shù)據(jù)被竊取的風(fēng)險(xiǎn)。

2　網(wǎng)頁設(shè)計(jì)安全缺陷應(yīng)對措施

網(wǎng)頁設(shè)計(jì)中的安全缺陷會(huì)降低網(wǎng)站的安全性能，威脅企業(yè)隱私數(shù)據(jù)安全，現(xiàn)階段，網(wǎng)頁設(shè)計(jì)中存在的安全缺陷主要包括Web安全加固、桌面數(shù)據(jù)庫泄密和文件上傳漏洞等幾方面。

2.1Web安全加固

常規(guī)安全設(shè)備不能抵御應(yīng)用層攻擊，因此互聯(lián)網(wǎng)廠商提供了應(yīng)用層防火墻，以硬件的方式抵御網(wǎng)絡(luò)攻擊，針對SQL注入式攻擊能夠提供數(shù)據(jù)攔截功能。但是針對網(wǎng)頁篡改的攻擊方法多種多樣，攻擊者會(huì)想方設(shè)法獲取系統(tǒng)操作權(quán)限并進(jìn)行違法操作。為了避免網(wǎng)頁篡改，設(shè)計(jì)網(wǎng)頁時(shí)要采取措施避免被篡改的網(wǎng)頁流出服務(wù)器，同時(shí)加固網(wǎng)頁使其不容易被修改。當(dāng)前市場上防SQL服務(wù)以硬件的方式實(shí)現(xiàn)，而網(wǎng)頁防篡改則通過網(wǎng)頁設(shè)計(jì)和應(yīng)用程序進(jìn)行，兩種防護(hù)功能的相互整合程度不高。為了整合兩種功能，在內(nèi)核層面，可以將文件目錄以及內(nèi)容修改行為封裝在內(nèi)核入口中，系統(tǒng)利用層次攔截服務(wù)驗(yàn)證修改操作的合法性，非法操作拒絕其調(diào)用函數(shù)進(jìn)入內(nèi)核，并記錄攻擊攔截日志；系統(tǒng)層面，在受保護(hù)頁面和文件目錄對應(yīng)內(nèi)核中設(shè)置防修改Incode節(jié)點(diǎn)位；應(yīng)用層則利用事件觸發(fā)保護(hù)策略監(jiān)控網(wǎng)頁文件和目錄，建立多層安全加固體系，保護(hù)網(wǎng)頁安全。

2.2逃避驗(yàn)證/文件上傳

用戶知道網(wǎng)頁文件名、路徑，就有可能逃避驗(yàn)證，威脅網(wǎng)站安全。網(wǎng)頁如果沒有設(shè)置用戶登錄限制，用戶就可能直接將網(wǎng)頁文件名輸入網(wǎng)頁，無需進(jìn)行登錄驗(yàn)證就能夠獲取網(wǎng)頁內(nèi)容，降低了網(wǎng)站的安全性。為了避免用戶逃避驗(yàn)證，網(wǎng)頁設(shè)計(jì)開發(fā)人員需要注意保護(hù)網(wǎng)頁信息，加密網(wǎng)頁文件名、路徑，重要網(wǎng)站內(nèi)容設(shè)置用戶身份驗(yàn)證，用戶需要驗(yàn)證身份之后再登錄相關(guān)頁面，獲取信息，從而進(jìn)一步提高網(wǎng)頁安全性。

很多網(wǎng)站都設(shè)計(jì)了上傳文件功能，視頻網(wǎng)站用戶可以自行上傳視頻，網(wǎng)盤用戶可以上傳自己的各類文件，雖然給用戶帶來了便捷和更多豐富的功能，但也給網(wǎng)站安全性帶來了很大考驗(yàn)。一些網(wǎng)站設(shè)計(jì)開發(fā)工作人員在網(wǎng)頁設(shè)計(jì)中忽視了上傳文件的安全性問題，沒有添加過濾功能，或者過濾參數(shù)設(shè)置不合理，一些不法分子利用文件上傳功能，上傳惡意文件，潛入網(wǎng)站數(shù)據(jù)庫系統(tǒng)進(jìn)行破壞或者信息竊取。為了提高網(wǎng)站文件上傳的安全性，網(wǎng)站網(wǎng)頁設(shè)計(jì)應(yīng)該設(shè)置判斷程序，系統(tǒng)接收文件上傳請求之后首先分析判別其安全性，確認(rèn)其為無威脅文件之后方可完成上傳操作，從而有效避免非法文件、木馬病毒上傳到網(wǎng)站，提高系統(tǒng)安全性。

2.3數(shù)據(jù)庫下載/源代碼泄露

桌面數(shù)據(jù)庫被下載是另一個(gè)嚴(yán)重的網(wǎng)頁設(shè)計(jì)缺陷，ASP+Access應(yīng)用系統(tǒng)更容易出現(xiàn)這個(gè)問題。用戶在一般情況下需要通過網(wǎng)站的用戶登錄和身份驗(yàn)證之后方可下載網(wǎng)站相關(guān)信息，但是在知道Access數(shù)據(jù)庫名稱、路徑之后，數(shù)據(jù)庫中的信息就可以隨意下載，導(dǎo)致數(shù)據(jù)庫機(jī)密敏感信息泄密，給企業(yè)帶來損失。例如圖書館管理系統(tǒng)數(shù)據(jù)庫名稱為Library.mdb，路徑為URL/database，瀏覽器中輸入U(xiǎn)RL/ database/Library.mdb，就能夠直接下載該數(shù)據(jù)庫中的信息。為了保護(hù)數(shù)據(jù)庫信息，ASP程序設(shè)計(jì)首選開放數(shù)據(jù)庫互連（Open Database Connectivity，ODBC）數(shù)據(jù)源，該數(shù)據(jù)源不將數(shù)據(jù)庫名稱直接寫入程序中，不會(huì)出現(xiàn)ASP源代碼和數(shù)據(jù)庫名稱一同丟失的情況，除此之外，還應(yīng)該進(jìn)行頁面的加密處理和數(shù)據(jù)庫信息加密處理，保護(hù)數(shù)據(jù)庫內(nèi)部資料。

源代碼泄露也嚴(yán)重威脅著網(wǎng)站的安全，網(wǎng)站建設(shè)網(wǎng)頁設(shè)計(jì)中為了避免源代碼泄露，網(wǎng)站頁面代碼都需要加密處理，從而保護(hù)源代碼，提高網(wǎng)站安全性能。常見的ASP加密方法主要有編程邏輯封裝和ASP頁面加密兩種，其中Script Encoder ASP頁面加密更加常用，有著理想的可編程性，嵌入HTML頁面中的ASP代碼仍然可以使用常用的Dreamweaver等網(wǎng)頁編輯工具完善HTML部分，加密目錄內(nèi)所有ASP文件并統(tǒng)一輸出至指定目錄，操作簡單，安全性高。

2.4網(wǎng)頁篩選過濾

網(wǎng)站服務(wù)器提供了過濾轉(zhuǎn)送機(jī)制，方便網(wǎng)頁設(shè)計(jì)開發(fā)工作人員額外篩選處理網(wǎng)頁數(shù)據(jù)，該機(jī)制能夠于網(wǎng)站服務(wù)器外掛命令文件并編譯執(zhí)行，利用網(wǎng)站服務(wù)設(shè)定，可以轉(zhuǎn)移網(wǎng)頁輸入數(shù)據(jù)至網(wǎng)頁篩選過濾模塊，該模塊接受網(wǎng)頁數(shù)據(jù)之后，獲得其參數(shù)數(shù)據(jù)，并將其傳遞給XML解析器驗(yàn)證，驗(yàn)證成功方可進(jìn)行下一步操作，否則將向用戶端回傳錯(cuò)誤信息；之后輸入數(shù)據(jù)傳遞給MAC模塊，校驗(yàn)數(shù)據(jù)完整性，數(shù)據(jù)完好，可進(jìn)行下一步操作，否則回傳錯(cuò)誤信息；數(shù)據(jù)完整性校驗(yàn)完畢，傳遞給網(wǎng)站應(yīng)用程序，網(wǎng)站應(yīng)用程序回傳Cookies 和HTML數(shù)據(jù)，提取HTML數(shù)據(jù)參數(shù)網(wǎng)址和窗體數(shù)據(jù)傳給MAC處理模塊，生成信息驗(yàn)證碼，將其加入Cookie和HTML文件，回傳給客戶端。

網(wǎng)頁篩選過濾模塊讀取參數(shù)名稱，判斷該網(wǎng)頁是否有待處理表單，如果沒有參數(shù)名稱則不做處理，有參數(shù)名稱，表示有待處理表單，則逐一提取字段值、Cookies信息，XML解析驗(yàn)證。該功能能夠過濾和分析網(wǎng)頁，實(shí)現(xiàn)流程控制、其他功能模塊調(diào)用和安全校驗(yàn)等功能。

3　結(jié)語

信息化進(jìn)程不斷加快，網(wǎng)絡(luò)進(jìn)入了生產(chǎn)生活的方方面面，為人們提供了更加便捷的服務(wù)，網(wǎng)絡(luò)商務(wù)行為也更加普遍，電子商務(wù)、網(wǎng)絡(luò)營銷等網(wǎng)絡(luò)商業(yè)行為對網(wǎng)絡(luò)安全性的要求越來越高，為了保護(hù)網(wǎng)絡(luò)信息，需要采取有效的對策解決網(wǎng)站建設(shè)網(wǎng)頁設(shè)計(jì)中存在的各種安全缺陷，進(jìn)一步提高網(wǎng)站運(yùn)行安全性和穩(wěn)定性。

[1]宋鎮(zhèn).基于網(wǎng)站建設(shè)中網(wǎng)頁設(shè)計(jì)的安全問題的思考[J].無線互聯(lián)科技，2012（4）：31.

[2]邢太北.分析網(wǎng)站建設(shè)中網(wǎng)頁設(shè)計(jì)的安全缺陷及對策[J].計(jì)算機(jī)光盤軟件與應(yīng)用，2012（15）：237-238.

[3]程文彬.基于網(wǎng)站建設(shè)中網(wǎng)頁設(shè)計(jì)的安全缺陷及對策[J].電子科技大學(xué)學(xué)報(bào)，2013（6）711-713.

[4]徐曉丹.網(wǎng)站建設(shè)中網(wǎng)頁設(shè)計(jì)的安全缺陷及對策分析[J].電子制作，2014（21）：145-146.

[5]王洪海.試析網(wǎng)站建設(shè)中網(wǎng)頁設(shè)計(jì)的安全缺陷與解決策略[J].電子制作，2015（1）：83-84.

[6]佚名.自動(dòng)化技術(shù)、計(jì)算機(jī)技術(shù)[J].中國無線電電子學(xué)文摘，2014（4）：120-122.

[7]彭晶，王鵬，趙媛媛，等.網(wǎng)站建設(shè)中網(wǎng)頁設(shè)計(jì)的安全漏洞及解決對策[J].科技信息（學(xué)術(shù)研究版），2013（25）：77-78.

[8]范翠玲.我國高校圖書館主頁建設(shè)中存在的問題與對策[J].圖書館學(xué)研究，2014（3）：35-38.

Analysis of security flaws and countermeasures of web page design in website construction

Qian Neng, Yang Jie
（Chongqing Creation Vocational College, Chongqing 402160, China）

This paper mainly carried on the research of security defects and countermeasures of sites in the construction of web design, and analyzed the causes and hazards of web design security defects, and gave coping strategies of several common web design security deficiencies.

website construction; web design; security defects

錢能（1979— ），男，重慶，本科，講師；研究方向：計(jì)算機(jī)應(yīng)用技術(shù)，軟件開發(fā)，職業(yè)教育。