前言：本站為你精心整理了安全缺陷網(wǎng)頁(yè)設(shè)計(jì)論文范文，希望能為你的創(chuàng)作提供參考價(jià)值，我們的客服老師可以幫助你提供個(gè)性化的參考范文，歡迎咨詢(xún)。

1網(wǎng)頁(yè)設(shè)計(jì)中安全缺陷的形成原因

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，黑客攻擊技術(shù)也變得越來(lái)越先進(jìn)，針對(duì)網(wǎng)站的攻擊不斷出現(xiàn)，所以，設(shè)計(jì)人員在進(jìn)行網(wǎng)站的建設(shè)時(shí)一定要充分考慮其安全問(wèn)題。網(wǎng)站的建設(shè)流程包括需求分析、網(wǎng)站美工設(shè)計(jì)、程序開(kāi)發(fā)、網(wǎng)站。在網(wǎng)站建設(shè)中，要開(kāi)發(fā)很多相應(yīng)的配套程序，因?yàn)?a href="http://m.rqylqx.com/lunwen/shejilunwen/wangyeshejilunwen/201502/775886.html" target="_blank">網(wǎng)頁(yè)設(shè)計(jì)的獨(dú)特性，會(huì)增加程序的安全漏洞，為網(wǎng)站帶來(lái)了安全隱患。網(wǎng)站可以充當(dāng)企業(yè)和用戶(hù)之間、事業(yè)單位和群眾之間的溝通平臺(tái)，網(wǎng)站可以提供企業(yè)的產(chǎn)品信息和政府部門(mén)的政策信息，讓人民對(duì)企業(yè)和相關(guān)的事業(yè)單位有更層次的了解。尤其是電子商務(wù)網(wǎng)站，可以展示企業(yè)的產(chǎn)品，提高產(chǎn)品的知名度，拓展其銷(xiāo)售途徑，促進(jìn)企業(yè)的發(fā)展。網(wǎng)頁(yè)設(shè)計(jì)的實(shí)質(zhì)就是建設(shè)網(wǎng)站的各項(xiàng)內(nèi)容，它設(shè)計(jì)的好壞，直接影響著網(wǎng)站展示的效果。隨著計(jì)算機(jī)軟件技術(shù)的發(fā)展，很多軟件都能對(duì)網(wǎng)頁(yè)進(jìn)行設(shè)計(jì)，這在一定程度上提高了網(wǎng)頁(yè)設(shè)計(jì)的效率和效果，為網(wǎng)站開(kāi)發(fā)人員提供了很多便捷和技術(shù)支持。在進(jìn)行網(wǎng)站設(shè)計(jì)時(shí)，可以通過(guò)腳本語(yǔ)言編程技術(shù)實(shí)現(xiàn)網(wǎng)站和用戶(hù)之間的交流，更好地對(duì)網(wǎng)站資源進(jìn)行管理。用戶(hù)可以通過(guò)網(wǎng)站了解企業(yè)的相關(guān)產(chǎn)品信息和企業(yè)最新的動(dòng)向，在企業(yè)論壇中進(jìn)行在線交流等，有效推動(dòng)企業(yè)的發(fā)展。通過(guò)網(wǎng)站設(shè)計(jì)可以讓網(wǎng)站功能的實(shí)現(xiàn)更加安全、可靠。在網(wǎng)頁(yè)設(shè)計(jì)中應(yīng)用的服務(wù)器端網(wǎng)頁(yè)設(shè)計(jì)技術(shù)包括ASP、JSP和PHP等腳本語(yǔ)言，通過(guò)腳本語(yǔ)言可以實(shí)現(xiàn)網(wǎng)站資源的高效管理，提高了網(wǎng)站使用者和網(wǎng)站的交互性，在交互的過(guò)程中，一旦語(yǔ)言編程出現(xiàn)問(wèn)題，就會(huì)慢慢形成安全漏洞，出現(xiàn)嚴(yán)重的安全問(wèn)題，給企業(yè)造成一定的損失。這主要是因?yàn)橛脩?hù)的輸入信息不可控，信息的不確定性非常大。因此，在對(duì)網(wǎng)站進(jìn)行設(shè)計(jì)時(shí)，工作人員一定要事先考慮這個(gè)問(wèn)題，對(duì)用戶(hù)信息進(jìn)行詳細(xì)分析。一旦輸入非法信息就會(huì)對(duì)網(wǎng)站的安全產(chǎn)生損害，這些輸入的內(nèi)容可能會(huì)成為攻擊網(wǎng)絡(luò)的工具，使網(wǎng)站不能正常運(yùn)行。網(wǎng)頁(yè)腳本語(yǔ)言編程和服務(wù)器直接相連，并和網(wǎng)站設(shè)置、網(wǎng)站的數(shù)據(jù)庫(kù)設(shè)置直接相關(guān)。如果網(wǎng)站的程序設(shè)計(jì)出現(xiàn)漏洞，就會(huì)使網(wǎng)站的安全性降低，網(wǎng)站信息被竊取的幾率升高，給企業(yè)造成不可估量的損失。

2常見(jiàn)網(wǎng)頁(yè)設(shè)計(jì)安全缺陷及相關(guān)解決對(duì)策

一旦網(wǎng)頁(yè)設(shè)計(jì)中的存在安全缺陷，就會(huì)使得網(wǎng)站的安全性能大大降低，制約著企業(yè)電子商務(wù)技術(shù)的發(fā)展。網(wǎng)頁(yè)設(shè)計(jì)存在的安全缺陷主要有登陸驗(yàn)證缺陷、逃避驗(yàn)證缺陷、桌面數(shù)據(jù)庫(kù)被下載的安全缺陷、文件上傳存在的安全缺陷。

2.1登陸驗(yàn)證存在的安全問(wèn)題用戶(hù)在使用網(wǎng)站內(nèi)部的信息時(shí)，一定要進(jìn)行登錄，所以用戶(hù)要在該網(wǎng)站注冊(cè)設(shè)置自己的用戶(hù)名和登錄密碼。用戶(hù)在網(wǎng)站上進(jìn)行注冊(cè)一方面方便企業(yè)對(duì)用戶(hù)信息進(jìn)行高效管理，開(kāi)展相關(guān)的工作活動(dòng)。另一方面，個(gè)人設(shè)置登錄名和密碼也利于個(gè)人信息的保密，維護(hù)自己的利益。提高網(wǎng)站安全性的方式很多，用戶(hù)登錄的驗(yàn)證和確認(rèn)是其中的一種安全方式，只有確保網(wǎng)站的使用者都是合法的，才能進(jìn)一步確保網(wǎng)站信息的安全。但是當(dāng)前很多網(wǎng)站設(shè)計(jì)人員對(duì)用戶(hù)登錄的安全設(shè)置不夠重視，忽視驗(yàn)證部分，沒(méi)有考慮到登錄驗(yàn)證的重要性，導(dǎo)致登錄驗(yàn)證程序的穩(wěn)定性偏低，從而使黑客等不法分子乘機(jī)入侵，威脅網(wǎng)站的安全，造成數(shù)據(jù)信息泄露，造成巨大的損失。這種登錄安全缺陷主要是因?yàn)榫W(wǎng)站開(kāi)發(fā)人員設(shè)計(jì)的驗(yàn)證程序不夠嚴(yán)密，造成腳本語(yǔ)言編寫(xiě)程序在驗(yàn)證用戶(hù)賬號(hào)密碼時(shí)出現(xiàn)問(wèn)題。網(wǎng)站用戶(hù)登錄驗(yàn)證流程圖如圖1所示。用戶(hù)在網(wǎng)站上登錄，需要進(jìn)行相關(guān)的驗(yàn)證，這時(shí)需要網(wǎng)站開(kāi)發(fā)人員在數(shù)據(jù)庫(kù)的user數(shù)據(jù)表中編寫(xiě)相關(guān)的程序，用戶(hù)登錄時(shí)，以u(píng)sername代表輸入的賬號(hào)，以password代表輸入的登錄密碼。當(dāng)用戶(hù)輸入用戶(hù)名和密碼時(shí)，系統(tǒng)會(huì)在數(shù)據(jù)庫(kù)系統(tǒng)中進(jìn)行搜索，如果用戶(hù)的信息是正確的、合法的，就能搜索到相關(guān)信息，系統(tǒng)就會(huì)允許用戶(hù)使用網(wǎng)站的相關(guān)信息，反之，如果登錄信息是錯(cuò)誤的、不合法的，用戶(hù)就不能實(shí)現(xiàn)網(wǎng)站的訪問(wèn)。首先設(shè)定注冊(cè)限制，不是所有人都可以在網(wǎng)站上進(jìn)行注冊(cè)，這樣可以有效避免非法用戶(hù)在網(wǎng)站上面注冊(cè)，從而有效降低非法攻擊的發(fā)生機(jī)率。然后，進(jìn)行SQL登陸查詢(xún)時(shí)，先設(shè)置用戶(hù)信息過(guò)濾程序，過(guò)濾掉非法的用戶(hù)和密碼。最后，在驗(yàn)證用戶(hù)時(shí)，先驗(yàn)證用戶(hù)名，用戶(hù)名合法再驗(yàn)證密碼。這樣就可以有效提高用戶(hù)登錄的安全性，解決當(dāng)中存在的問(wèn)題。

2.2逃避驗(yàn)證存在的安全問(wèn)題如果用戶(hù)知道網(wǎng)頁(yè)的文件名或者是路徑，就會(huì)出現(xiàn)逃避驗(yàn)證現(xiàn)象，使網(wǎng)站的安全性下降。一旦網(wǎng)頁(yè)沒(méi)有用戶(hù)的登錄限制，用戶(hù)在網(wǎng)頁(yè)中直接輸入網(wǎng)頁(yè)的文件名，不用進(jìn)行登錄驗(yàn)證，就可以讀取網(wǎng)站內(nèi)容，這對(duì)網(wǎng)站的安全是嚴(yán)重的威脅。所以，為了有效避免這個(gè)問(wèn)題，需要網(wǎng)頁(yè)設(shè)計(jì)人員加強(qiáng)網(wǎng)頁(yè)信息的保密工作，提高網(wǎng)站信息的安全性。此外，對(duì)一些重要的網(wǎng)站內(nèi)容加強(qiáng)用戶(hù)身份驗(yàn)證限制，這樣所有的用戶(hù)在登錄相關(guān)頁(yè)面時(shí)，都必須進(jìn)行身份驗(yàn)證工作，驗(yàn)證通過(guò)之后，才能使用里面的相關(guān)信息，這樣會(huì)大大提高站點(diǎn)的數(shù)據(jù)安全性。

2.3桌面數(shù)據(jù)庫(kù)被下載的安全漏洞桌面數(shù)據(jù)庫(kù)被下載的安全漏洞主要是ASP+Access應(yīng)用系統(tǒng)中的問(wèn)題。通常情況下，用戶(hù)都可以通過(guò)網(wǎng)站下載相關(guān)的信息，但是如果知道Access數(shù)據(jù)庫(kù)名稱(chēng)及存儲(chǔ)路徑，就可以任意下載數(shù)據(jù)庫(kù)中的信息，從而導(dǎo)致數(shù)據(jù)庫(kù)中的機(jī)密信息泄露。比如，圖書(shū)館系統(tǒng)中的Access數(shù)據(jù)庫(kù)其名稱(chēng)和存儲(chǔ)路徑一般為L(zhǎng)ibrary.mdb和URL/database。此時(shí)，只要在WEB瀏覽器的地址欄中鍵入U(xiǎn)RL/database/Library.mdb，就能將Library.mdb數(shù)據(jù)庫(kù)下載到本地計(jì)算機(jī)中。所以，為了有效避免上述問(wèn)題，在設(shè)計(jì)ASP程序時(shí)，數(shù)據(jù)源要盡量使用ODBC數(shù)據(jù)源，這樣數(shù)據(jù)庫(kù)名稱(chēng)就不會(huì)被直接寫(xiě)入程序中，避免出現(xiàn)ASP源代碼和數(shù)據(jù)庫(kù)名稱(chēng)一起失密的現(xiàn)象。此外，還要對(duì)頁(yè)面進(jìn)行加密處理，這樣可以有效提高數(shù)據(jù)庫(kù)系統(tǒng)信息的安全性，避免數(shù)據(jù)庫(kù)內(nèi)部資料被竊取。ASP頁(yè)面的加密主要有兩種方法：一是，應(yīng)用組件技術(shù)將編程邏輯封裝在DLL中；二是，應(yīng)用ScriptEncoder加密ASP頁(yè)面。通常情況下都會(huì)采取第二種方法對(duì)ASP頁(yè)面進(jìn)行加密，因?yàn)槭褂玫谝环N方法對(duì)ASP頁(yè)面進(jìn)行加密時(shí)，需要將每段代碼組件化，工作量特別大，并且操作十分繁瑣。采用ScriptEncoder方法加密ASP頁(yè)面時(shí)，其操作比較簡(jiǎn)單，編輯性強(qiáng)，具有以下四方面的優(yōu)勢(shì)：(1)HTML具有良好的可編輯性，使用ScriptEncoder加密ASP頁(yè)面時(shí)，只需將ASP代碼嵌入到HTML頁(yè)面中，故仍可以使用常用網(wǎng)頁(yè)編輯工具如Dreamweaver等實(shí)現(xiàn)HTML部分的完善，但是ASP加密部分不能任意更改，否則將會(huì)對(duì)文件造成破壞，導(dǎo)致其失效；(2)可以加密當(dāng)前目錄中的所有ASP文件，加密后并將其統(tǒng)一輸出指定目錄中；(3)應(yīng)用ScriptEncoder加密ASP頁(yè)面的操作十分簡(jiǎn)單。(4)criptEncoder加密軟件是免費(fèi)網(wǎng)件，可以從網(wǎng)站上直接下載，安裝、注冊(cè)驗(yàn)證即可。應(yīng)用ScriptEncoder對(duì)代碼加密，既簡(jiǎn)單方便，安全性又高。隨著ScriptEncoder加密技術(shù)的廣泛應(yīng)用，DLL封裝方法的使用越來(lái)越少，逐步被淘汰。

2.4文件上傳存在的安全問(wèn)題很多網(wǎng)站都具有文件上傳功能，比如學(xué)習(xí)網(wǎng)站，教師上傳一些學(xué)習(xí)資料等，但是網(wǎng)站的設(shè)計(jì)人員在設(shè)計(jì)網(wǎng)站時(shí)，沒(méi)有設(shè)置過(guò)濾參數(shù)過(guò)濾功能，導(dǎo)致非法攻擊人員利用這個(gè)漏洞上傳一些惡意文件破壞網(wǎng)站的數(shù)據(jù)庫(kù)系統(tǒng)或者是執(zhí)行任意命令。為了解決這個(gè)問(wèn)題，提高文件上傳的安全性，應(yīng)該在網(wǎng)站系統(tǒng)中添加判斷程序，這樣，系統(tǒng)在獲得用戶(hù)的文件上傳請(qǐng)求之后，先對(duì)文件的安全性進(jìn)行判別，符合文件上傳的條件，才能完成上傳操作，這樣可以避免網(wǎng)站中上傳一些非法文件，對(duì)系統(tǒng)造成破壞。

3結(jié)束語(yǔ)

隨著21世紀(jì)信息化進(jìn)程的不斷加快，網(wǎng)絡(luò)在人們生活中的作用越來(lái)越重要，而網(wǎng)站的安全問(wèn)題也備受關(guān)注。在對(duì)網(wǎng)站進(jìn)行建設(shè)時(shí)，需要涉及到很多的應(yīng)用程序，在網(wǎng)頁(yè)設(shè)計(jì)的交互程序中會(huì)出現(xiàn)很多安全漏洞問(wèn)題，從而對(duì)網(wǎng)站造成影響，甚至給企事業(yè)單位造成不可估計(jì)的損失。所以，我們一定要重視網(wǎng)站的安全問(wèn)題，在網(wǎng)站建設(shè)中充分考慮可能出現(xiàn)的安全問(wèn)題，這樣可以在一定程度上提高網(wǎng)站的安全性。

作者：王洪海單位：沈陽(yáng)職業(yè)技術(shù)學(xué)院