網(wǎng)站建設(shè)中網(wǎng)頁(yè)設(shè)計(jì)的安全缺陷研究

張正做

浙江省食品藥品檢驗(yàn)研究院 浙江 杭州 310052

隨著現(xiàn)代化社會(huì)快速發(fā)展，各企業(yè)和政府部門(mén)都在各方面加大投資與創(chuàng)新力度，網(wǎng)站作為對(duì)外信息發(fā)布的窗口受到越來(lái)越多的重視。當(dāng)前，有許多企事業(yè)單位越來(lái)越多的在網(wǎng)站上開(kāi)展各項(xiàng)工作，針對(duì)各類現(xiàn)代化技術(shù)應(yīng)用，雖然擴(kuò)大自身影響范圍，但忽視網(wǎng)頁(yè)設(shè)計(jì)安全性，使其設(shè)計(jì)存在安全缺陷及隱患，不但未達(dá)到預(yù)期發(fā)展要求，反而帶來(lái)一定經(jīng)濟(jì)損失。對(duì)此情況，各企事業(yè)單位自身逐漸意識(shí)到網(wǎng)站設(shè)計(jì)防護(hù)功能重要性，把工作重心調(diào)整到網(wǎng)頁(yè)設(shè)計(jì)安全性提升方面，從而能滿足企業(yè)發(fā)展需求。

一、網(wǎng)站建設(shè)中網(wǎng)頁(yè)設(shè)計(jì)安全隱患

基于網(wǎng)頁(yè)環(huán)境條件下，新型互聯(lián)網(wǎng)產(chǎn)品及各項(xiàng)技術(shù)被廣泛應(yīng)用，企事業(yè)單位發(fā)展方向也發(fā)生相應(yīng)的改變，結(jié)合自身發(fā)展?fàn)顩r，把各項(xiàng)工作都放在Web平臺(tái)上開(kāi)展，雖然提升了各項(xiàng)工作質(zhì)量與效率，但是也逐漸引起了黑客們的關(guān)注，導(dǎo)致網(wǎng)頁(yè)安全性受到威脅，黑客們能借助Windows系統(tǒng)自身漏洞或網(wǎng)頁(yè)服務(wù)程序中人機(jī)交互SQL注入漏洞等，獲取到網(wǎng)頁(yè)服務(wù)器控制權(quán)限，并開(kāi)始操控網(wǎng)頁(yè)，隨意篡改網(wǎng)頁(yè)中的信息數(shù)據(jù)、相關(guān)內(nèi)容等，更嚴(yán)重的是先復(fù)制網(wǎng)頁(yè)內(nèi)部信息數(shù)據(jù)，然后對(duì)原始信息數(shù)據(jù)破壞或刪除，再注入木馬病毒或惡意代碼，使所刪除的原始數(shù)據(jù)無(wú)法恢復(fù)，導(dǎo)致網(wǎng)站崩潰、癱瘓等。

雖然設(shè)計(jì)者們對(duì)網(wǎng)站安全重點(diǎn)保護(hù)，各項(xiàng)技術(shù)水平顯著提升，但是黑客技術(shù)手段不斷變化，使設(shè)計(jì)者們處于被動(dòng)形式下，無(wú)法準(zhǔn)確掌握黑客們的技術(shù)手段，加大網(wǎng)站安全監(jiān)管難度[1]。

例如:黑客們根據(jù)ASP程序自身漏洞，可攻擊網(wǎng)站、操控網(wǎng)站，雖然用戶們依然可以對(duì)此類網(wǎng)站正常訪問(wèn)或使用，但是一旦查看網(wǎng)站源代碼，就會(huì)發(fā)現(xiàn)有一些不明含義的隱藏內(nèi)容，網(wǎng)頁(yè)設(shè)計(jì)出現(xiàn)了安全缺陷，對(duì)網(wǎng)站安全性、穩(wěn)定性等造成干擾或破壞。

二、網(wǎng)站建設(shè)中網(wǎng)頁(yè)設(shè)計(jì)的安全缺陷

(一)SQL注入安全缺陷。SQL注入，通過(guò)人機(jī)交互操作實(shí)現(xiàn)，那么在網(wǎng)站設(shè)計(jì)環(huán)節(jié)中，如果忽視對(duì)用戶輸入數(shù)據(jù)正當(dāng)性考慮，就會(huì)為黑客們提供攻擊條件，借助SQL注入環(huán)節(jié)，在查詢SQL代碼時(shí)可逐步返回程序，獲取到相關(guān)信息據(jù)，會(huì)因SQL注入安全缺陷，導(dǎo)致網(wǎng)站系統(tǒng)及網(wǎng)頁(yè)受到攻擊、破壞。

(二)文件上傳安全缺陷。文件上傳安全缺陷，是指黑客們?cè)诰W(wǎng)站上上傳了一個(gè)可執(zhí)行的惡意代碼，使網(wǎng)站服務(wù)器被執(zhí)行。如:電子郵件網(wǎng)站、論壇等，在網(wǎng)站功能設(shè)計(jì)方面具備文件、圖片、視頻等上傳功能[2]。同時(shí)，完成文件上傳操作后，相關(guān)內(nèi)容會(huì)被儲(chǔ)存到網(wǎng)站服務(wù)器數(shù)據(jù)庫(kù)中。雖然為網(wǎng)絡(luò)用戶提供了儲(chǔ)存各類內(nèi)容的有利條件，但是因設(shè)計(jì)者忽視網(wǎng)站身份過(guò)濾、排查等功能設(shè)計(jì)，使網(wǎng)站服務(wù)器不會(huì)對(duì)網(wǎng)絡(luò)用戶身份進(jìn)行限制，為黑客們攻擊網(wǎng)站、獲取信息數(shù)據(jù)等提供條件。

例如:黑客們利用Telnet服務(wù)功能，對(duì)網(wǎng)站服務(wù)器中所儲(chǔ)存的信息數(shù)據(jù)進(jìn)行復(fù)制、修改、破壞等。再上傳木馬程序、病毒等，導(dǎo)致網(wǎng)站服務(wù)受到惡意攻擊，面臨網(wǎng)站癱瘓等情況。

(三)登錄驗(yàn)證安全缺陷。設(shè)計(jì)者對(duì)網(wǎng)站網(wǎng)頁(yè)設(shè)計(jì)，考慮到用戶們個(gè)人信息及相關(guān)內(nèi)容的安全性，在用戶登錄網(wǎng)站時(shí)，會(huì)有一個(gè)登陸驗(yàn)證的程序設(shè)計(jì)。但是因登陸驗(yàn)證功能安全性較低，使黑客們?cè)诖谁h(huán)節(jié)中攻克登陸驗(yàn)證信息，直接進(jìn)入到網(wǎng)站網(wǎng)頁(yè)中，也會(huì)對(duì)網(wǎng)站系統(tǒng)造成破壞。

例如:登錄驗(yàn)證頁(yè)面漏洞，大部分網(wǎng)站會(huì)在網(wǎng)站登錄頁(yè)面上要求用戶輸入用戶名、密碼，然后才可進(jìn)入到相關(guān)頁(yè)面中。那么網(wǎng)站系統(tǒng)對(duì)用戶身份信息的驗(yàn)證，只是單憑所輸入的用戶名與密碼，但程序設(shè)計(jì)不嚴(yán)謹(jǐn)，則出現(xiàn)登錄驗(yàn)證安全缺陷，依然使網(wǎng)站網(wǎng)頁(yè)設(shè)計(jì)存在安全隱患。

(四)網(wǎng)站授權(quán)安全缺陷。部分設(shè)計(jì)者對(duì)網(wǎng)站網(wǎng)頁(yè)編程設(shè)計(jì)，會(huì)繁瑣地使用網(wǎng)絡(luò)安全配置，但卻沒(méi)有考慮到網(wǎng)站授權(quán)情況，使網(wǎng)絡(luò)服務(wù)運(yùn)行環(huán)節(jié)中，存在巨大的網(wǎng)站授權(quán)安全缺陷[3]?；诖饲闆r下，黑客們會(huì)利用網(wǎng)站授權(quán)安全缺陷，輕松地入侵到網(wǎng)站網(wǎng)絡(luò)服務(wù)器中，并可以對(duì)網(wǎng)站服務(wù)器進(jìn)行遠(yuǎn)程操控，無(wú)法確保網(wǎng)站安全性，導(dǎo)致企業(yè)經(jīng)濟(jì)利益受到嚴(yán)重的威脅。

三、網(wǎng)站建設(shè)中網(wǎng)頁(yè)設(shè)計(jì)安全缺陷解決

(一)加大SQL注入預(yù)防力度。在網(wǎng)站設(shè)計(jì)中，SQL是必不可少的后臺(tái)數(shù)據(jù)庫(kù)語(yǔ)言，通常情況下，會(huì)以一些特殊性的字符代替，如:“*”。主要目的就是能夠?qū)ο嚓P(guān)內(nèi)容進(jìn)行模糊匹配，避免重要內(nèi)容或信息數(shù)據(jù)直接暴露。但大部分設(shè)計(jì)者在網(wǎng)站設(shè)計(jì)初期，均忽視SQL語(yǔ)言書(shū)寫(xiě)規(guī)范性，導(dǎo)致特殊字符應(yīng)用效果不佳，出現(xiàn)SQL注入設(shè)計(jì)安全缺陷。對(duì)此情況，還需引起設(shè)計(jì)者們的重視，能在SQL注入方面加大預(yù)防力度，先打開(kāi)配置文件中的magic_quotes_gpc、magic_quotes_runtime；再設(shè)置register_globals處于off狀態(tài)，并關(guān)閉全局變量注冊(cè)；最后，對(duì)數(shù)據(jù)庫(kù)、數(shù)據(jù)表字段重新命名，可確保SQL注入安全性。

在SQL注入過(guò)程中對(duì)數(shù)據(jù)庫(kù)、數(shù)據(jù)表字段重新命名，要考慮到名字難易程度，不易被黑客們破譯。如:姓名字段，不要以“name”字段命名。

(二)控制文件上傳安全性。結(jié)合上述內(nèi)容中對(duì)文件上傳安全缺陷原因分析，了解到文件上傳安全缺陷對(duì)網(wǎng)站系統(tǒng)安全性的影響，還需設(shè)計(jì)者能在此方面加大設(shè)計(jì)力度，通過(guò)控制文件上傳安全性，避免惡意執(zhí)行文件上傳到網(wǎng)站服務(wù)器中。第一，針對(duì)文件上傳功能設(shè)計(jì)，考慮文件類別，可設(shè)置文件目錄，并在文件目錄中分開(kāi)處理可執(zhí)行文件與不可執(zhí)行文件。簡(jiǎn)單的說(shuō)，文件目設(shè)置，就只能對(duì)可執(zhí)行文件進(jìn)行存放，而不可進(jìn)行其它操作[4]。第二，根據(jù)文件類型做出合理化的判斷。主要是在文件上傳環(huán)節(jié)中，把除可執(zhí)行文件的內(nèi)容均進(jìn)行阻擋，能控制黑客們惡意文件的上傳。第三，采用隨機(jī)數(shù)修改上傳文件名字，并在文件上傳路徑上進(jìn)行了多樣化的創(chuàng)新，從而避免在文件上傳環(huán)節(jié)中存在安全隱患。

(三)完善登錄驗(yàn)證功能。完善登錄驗(yàn)證功能，其一，在用戶名注冊(cè)、密碼添加環(huán)節(jié)中就對(duì)用戶身份進(jìn)行了限制，如:非法用戶及非法用戶名等不準(zhǔn)申請(qǐng)；其二，借助SQL特殊性語(yǔ)言與符號(hào)，會(huì)在用戶名及密碼登錄后進(jìn)行查詢、驗(yàn)證，初步完成用戶信息數(shù)據(jù)過(guò)濾工作，從根本上進(jìn)行非法賬號(hào)、密碼的輸入；其三，用戶信息驗(yàn)證環(huán)節(jié)中，不急于各項(xiàng)信息數(shù)據(jù)的匹配，而是先驗(yàn)證用戶名，待用戶名驗(yàn)證成功，再驗(yàn)證密碼，有效確保登錄驗(yàn)證安全性。

(四)加固處理Web安全性。因網(wǎng)頁(yè)篡改、攻擊等方式較多，為避免網(wǎng)頁(yè)設(shè)計(jì)存在安全缺陷，增強(qiáng)網(wǎng)站服務(wù)系統(tǒng)穩(wěn)定性與安全性，還需在網(wǎng)頁(yè)設(shè)計(jì)環(huán)節(jié)中加固處理Web安全性，確保網(wǎng)頁(yè) 不易被修改[5]?；诖藯l件下，再搭配網(wǎng)頁(yè)設(shè)計(jì)、應(yīng)用程序，提升網(wǎng)頁(yè)、網(wǎng)站系統(tǒng)防護(hù)功能性，如:Active Server Page、Hypertext Preprocessor、Java Server Pages等，應(yīng)用 ASP、PHP、JSP等搭建網(wǎng)站后臺(tái)程序，在網(wǎng)站后臺(tái)程序開(kāi)發(fā)階段就考慮到整體安全性，制定完善的設(shè)計(jì)方案，并在網(wǎng)站后臺(tái)程序后期維護(hù)環(huán)節(jié)中，由專業(yè)化設(shè)計(jì)人員進(jìn)行全程監(jiān)管，應(yīng)用互聯(lián)網(wǎng)技術(shù)，對(duì)網(wǎng)站系統(tǒng)、網(wǎng)頁(yè)設(shè)計(jì)安全性進(jìn)行精細(xì)化、全面性、動(dòng)態(tài)化監(jiān)管，能把安全隱患控制到最小化，最大化地提升網(wǎng)站系統(tǒng)、網(wǎng)頁(yè)Web安全性。

此外，通過(guò)對(duì)Web安全性加固處理，雖然表面上與以往的網(wǎng)頁(yè)設(shè)計(jì)無(wú)明顯差別，但是在實(shí)際應(yīng)用的過(guò)程中，卻相當(dāng)于設(shè)計(jì)了一個(gè)“功能健”，能對(duì)網(wǎng)站中所涉及到的所有程序及內(nèi)容掌控，利用表單實(shí)現(xiàn)人機(jī)交互操作程序，用戶們可根據(jù)自身需求把相關(guān)內(nèi)容上傳及儲(chǔ)存到數(shù)據(jù)庫(kù)中，而黑客們對(duì)用戶上傳與儲(chǔ)存的信息數(shù)據(jù)無(wú)法預(yù)測(cè)，一旦有黑客攻擊網(wǎng)站，網(wǎng)頁(yè)設(shè)計(jì)中的防護(hù)功能就會(huì)發(fā)揮出自身作用，從而避免網(wǎng)站系統(tǒng)、網(wǎng)頁(yè)等受到攻擊。

結(jié)語(yǔ)

結(jié)合上述中相關(guān)內(nèi)容分析，能夠了解到網(wǎng)站建設(shè)中網(wǎng)頁(yè)設(shè)計(jì)安全隱患存在的影響性，還需設(shè)計(jì)者們能依據(jù)實(shí)際情況展開(kāi)全面性的探究與分析，掌握網(wǎng)站建設(shè)中網(wǎng)頁(yè)設(shè)計(jì)安全隱患存在的具體原因，并從根源上進(jìn)行有效解決。關(guān)于網(wǎng)頁(yè)設(shè)計(jì)安全缺陷探究，本文選擇SQL注入安全缺陷、文件上傳安全缺陷、登錄驗(yàn)證安全缺陷、網(wǎng)站授權(quán)安全缺陷四點(diǎn)內(nèi)容分析，以此為基礎(chǔ)，制定完善的防護(hù)方案與措施，從而確保網(wǎng)站運(yùn)行穩(wěn)定性與安全性，為各領(lǐng)域創(chuàng)新發(fā)展提供有利條件。