動(dòng)態(tài)網(wǎng)頁設(shè)計(jì)安全漏洞的解決對(duì)策研究,網(wǎng)頁設(shè)計(jì)論文_第1頁
動(dòng)態(tài)網(wǎng)頁設(shè)計(jì)安全漏洞的解決對(duì)策研究,網(wǎng)頁設(shè)計(jì)論文_第2頁
動(dòng)態(tài)網(wǎng)頁設(shè)計(jì)安全漏洞的解決對(duì)策研究,網(wǎng)頁設(shè)計(jì)論文_第3頁
動(dòng)態(tài)網(wǎng)頁設(shè)計(jì)安全漏洞的解決對(duì)策研究,網(wǎng)頁設(shè)計(jì)論文_第4頁
動(dòng)態(tài)網(wǎng)頁設(shè)計(jì)安全漏洞的解決對(duì)策研究,網(wǎng)頁設(shè)計(jì)論文_第5頁
已閱讀5頁,還剩3頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

動(dòng)態(tài)網(wǎng)頁設(shè)計(jì)安全漏洞的解決對(duì)策研究,網(wǎng)頁設(shè)計(jì)論文內(nèi)容摘要:科技發(fā)展對(duì)人們生活產(chǎn)生了一定影響,并且電子商務(wù)逐步成為企業(yè)重點(diǎn)發(fā)展的營銷形式,大多數(shù)企業(yè)都建立其本身的網(wǎng)站系統(tǒng),對(duì)網(wǎng)頁設(shè)計(jì)技術(shù)安全性提出了較高要求。本文主要圍繞動(dòng)態(tài)網(wǎng)頁設(shè)計(jì)安全漏洞的構(gòu)成、動(dòng)態(tài)網(wǎng)頁設(shè)計(jì)安全漏洞的分類、動(dòng)態(tài)網(wǎng)頁設(shè)計(jì)安全漏洞及解決對(duì)策等方面展開討論,在對(duì)網(wǎng)頁設(shè)計(jì)中存在的安全缺陷有所把握的基礎(chǔ)上,提出相應(yīng)的安全漏洞解決措施,能有效加強(qiáng)系統(tǒng)內(nèi)部信息的安全。本文關(guān)鍵詞語:動(dòng)態(tài)網(wǎng)頁設(shè)計(jì);安全漏洞;數(shù)據(jù)庫技術(shù);前言隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大化及電子商務(wù)的發(fā)展,促使企業(yè)注重其內(nèi)部商務(wù)網(wǎng)站的建立,在構(gòu)建網(wǎng)站系統(tǒng)時(shí),需要加大對(duì)安全問題的重視,以便確保企業(yè)經(jīng)濟(jì)活動(dòng)在安全的網(wǎng)絡(luò)環(huán)境下進(jìn)行。固然入侵檢測(cè)、防火墻等安全防護(hù)技術(shù)已經(jīng)被大量應(yīng)用在網(wǎng)站建設(shè)中,但是由于動(dòng)態(tài)網(wǎng)頁設(shè)計(jì)的復(fù)雜性,可能導(dǎo)致網(wǎng)頁設(shè)計(jì)經(jīng)過中存在較多程序漏洞,進(jìn)而不利于網(wǎng)站正常運(yùn)營,因而,有必要加大對(duì)網(wǎng)業(yè)設(shè)計(jì)技術(shù)安全隱患解決措施的研究。1.動(dòng)態(tài)網(wǎng)頁設(shè)計(jì)安全漏洞的構(gòu)成在進(jìn)行動(dòng)態(tài)網(wǎng)頁設(shè)計(jì)時(shí),通常會(huì)運(yùn)用到PHP、ASP或JSP等語言,在這些腳本語言作用下,能為動(dòng)態(tài)網(wǎng)頁設(shè)計(jì)提供給用性較強(qiáng)的設(shè)計(jì)工具,并能起到簡化程序開發(fā)流程的作用。在實(shí)際設(shè)計(jì)中,應(yīng)用上述腳本語言進(jìn)行程序編程能提高網(wǎng)站管理水平,加強(qiáng)閱讀界面與用戶間的交互作用[1]。例如,企業(yè)在建立網(wǎng)站系統(tǒng)時(shí),將在華而不實(shí)設(shè)置產(chǎn)品管理系統(tǒng)、信息發(fā)布系統(tǒng)、論壇溝通系統(tǒng)等多個(gè)功能模塊。這些功能模塊的共同點(diǎn)在用戶將大量信息導(dǎo)入系統(tǒng)中,以便借助系統(tǒng)信息傳播作用,使得用戶與用戶間、用戶與網(wǎng)站管理者間能進(jìn)行實(shí)時(shí)溝通互動(dòng),確保在信息有效分享的條件下,為用戶提供針對(duì)性服務(wù)。但是由于網(wǎng)站的交互特點(diǎn),將導(dǎo)致系統(tǒng)可能存在安全漏洞,由于用戶數(shù)據(jù)信息是不可預(yù)測(cè)的,假如程序不能對(duì)相關(guān)信息作出適當(dāng)反響,則用戶輸入信息可能對(duì)網(wǎng)站安全性造成危害。為了解決上述問題,要求網(wǎng)頁設(shè)計(jì)人員能從保障網(wǎng)站信息安全性這一角度出發(fā),以便獲得較好的動(dòng)態(tài)網(wǎng)頁設(shè)計(jì)效果。2.動(dòng)態(tài)網(wǎng)頁設(shè)計(jì)安全漏洞的分類網(wǎng)頁設(shè)計(jì)安全漏洞通常包括登陸驗(yàn)證界面漏洞和直接進(jìn)入界面漏洞等。當(dāng)網(wǎng)頁設(shè)計(jì)人員在登錄界面設(shè)計(jì)時(shí),忽視對(duì)系統(tǒng)安全性的保衛(wèi),在實(shí)際設(shè)計(jì)階段沒有做到對(duì)登錄界面的嚴(yán)格限制,將對(duì)系統(tǒng)安全性造成不利影響。而從直接進(jìn)入界面這一漏洞角度出發(fā),部分界面可直接根據(jù)數(shù)據(jù)庫中已有信息登錄系統(tǒng)中,部分界面的登錄不需要用戶輸入賬號(hào)密碼,是網(wǎng)頁設(shè)計(jì)漏洞的具體表現(xiàn)出。3.動(dòng)態(tài)網(wǎng)頁設(shè)計(jì)安全漏洞及解決對(duì)策3.1登陸驗(yàn)證漏洞登陸驗(yàn)證是各類網(wǎng)站系統(tǒng)應(yīng)具備的基礎(chǔ)功能之一,如聊天室、網(wǎng)上影院以及論壇等網(wǎng)站,由于這些網(wǎng)站具有交互性特點(diǎn),因而在用戶進(jìn)入網(wǎng)站前,需要進(jìn)行登陸驗(yàn)證。能夠講登陸驗(yàn)證環(huán)節(jié)是網(wǎng)站系統(tǒng)的主要構(gòu)成部分,同時(shí)是保障網(wǎng)站安全運(yùn)營的重要關(guān)口。為了做到對(duì)網(wǎng)站信息的保衛(wèi),需要充分發(fā)揮登陸驗(yàn)證的安全防護(hù)作用。但是部分網(wǎng)頁設(shè)計(jì)者容易忽視這一設(shè)計(jì)環(huán)節(jié),在驗(yàn)證程序關(guān)口上的處理還有所缺乏,這就將導(dǎo)致非法用戶入侵到網(wǎng)站中,將對(duì)網(wǎng)站用戶帶來經(jīng)濟(jì)損失。造成登陸驗(yàn)證存在漏洞的原因主要為,大部分網(wǎng)站在進(jìn)行登陸驗(yàn)證相關(guān)程序的編寫時(shí),在驗(yàn)證賬號(hào)身份程序方面不夠嚴(yán)謹(jǐn)。例如,在進(jìn)行網(wǎng)站會(huì)員區(qū)程序設(shè)計(jì)時(shí),一般將用戶賬號(hào)和密碼儲(chǔ)存在一個(gè)獨(dú)立的數(shù)據(jù)庫中,并利用相應(yīng)字段來表示出用戶賬戶名稱和密碼。在登錄驗(yàn)證經(jīng)過中,將檢查用戶導(dǎo)入的相關(guān)參數(shù)能否與數(shù)據(jù)庫中信息相一致,假如信息一致,則講明用戶合法。對(duì)于登陸驗(yàn)證界面設(shè)計(jì)來講,假如驗(yàn)證代碼編寫不當(dāng),將產(chǎn)生安全漏洞[2]。為了解決這個(gè)安全漏洞問題,要求設(shè)計(jì)者在進(jìn)行各網(wǎng)站交互性動(dòng)態(tài)網(wǎng)頁設(shè)計(jì)時(shí),應(yīng)確保用戶登錄系統(tǒng)時(shí)的有關(guān)驗(yàn)證工作能合理開展,使得登陸驗(yàn)證程序在進(jìn)行SQL查詢后,能對(duì)用戶身份加以驗(yàn)證,或者在用戶進(jìn)入系統(tǒng)對(duì)登陸賬號(hào)進(jìn)行嚴(yán)格審查,進(jìn)而加強(qiáng)登錄信息的安全性,是解決登陸驗(yàn)證安全缺陷的有效途徑。另外,對(duì)于一些敏感網(wǎng)頁來講,當(dāng)用戶需要登陸閱讀這類網(wǎng)頁時(shí),系統(tǒng)可要求用戶進(jìn)行二次登錄驗(yàn)證,這一功能可通過網(wǎng)頁設(shè)計(jì)來實(shí)現(xiàn),進(jìn)一步加大網(wǎng)頁安全性。3.2文件上傳安全性漏洞大部分網(wǎng)站包括郵件服務(wù)系統(tǒng)、論壇等都能實(shí)現(xiàn)文件上傳這一功能,但是設(shè)計(jì)者在進(jìn)行用戶上傳參數(shù)設(shè)計(jì)方面缺少有效過濾,將造成遠(yuǎn)程違法分子利用設(shè)計(jì)漏洞向網(wǎng)站傳輸惡意文件,將對(duì)數(shù)據(jù)庫造成嚴(yán)重危害。例如,iXmail中的腳本語言在對(duì)用戶上傳的文件缺乏信息過濾環(huán)節(jié),將為攻擊者創(chuàng)造上傳惡意文件的時(shí)機(jī),對(duì)服務(wù)器正常運(yùn)作有不利影響。例如,設(shè)計(jì)者在進(jìn)行文件上傳有關(guān)網(wǎng)頁的設(shè)計(jì)時(shí),會(huì)選擇將系統(tǒng)內(nèi)文件儲(chǔ)存在/tmp目錄中,這種情況下,同戶可針對(duì)文件信息進(jìn)行遠(yuǎn)程訪問,但是同樣使得攻擊者能借助Web登錄權(quán)限在網(wǎng)站內(nèi)部執(zhí)行任意指令,是網(wǎng)頁設(shè)計(jì)存在安全缺陷的主要原因。為了解決這一問題,在進(jìn)行文件上傳功能界面設(shè)計(jì)時(shí),應(yīng)能在文件上傳前,設(shè)計(jì)文件類型辨別模塊,使得用戶能通過界面提示進(jìn)行相關(guān)操作,能在該模塊作用下完成文件信息過濾經(jīng)過。例如,在用戶上傳圖片類型的文件時(shí),則系統(tǒng)規(guī)定只要GIF、JPG等格式的文件能上傳,可有效限制惡意文件進(jìn)入系統(tǒng)中。詳細(xì)來講,文件上傳功能是大多數(shù)網(wǎng)站重點(diǎn)設(shè)計(jì)功能之一,能為用戶進(jìn)行文件傳輸及儲(chǔ)存等操作提供施行途徑,并且部分郵箱和論壇等網(wǎng)站具有圖片分享功能,以便知足用戶需求。而對(duì)于用戶量較大的網(wǎng)站來講,用戶在文件分享經(jīng)過中可能夾帶病毒文件,假如在網(wǎng)站設(shè)計(jì)階段不能對(duì)這一問題加以防備,則會(huì)對(duì)網(wǎng)站安全性造成威脅。因而,要求網(wǎng)頁設(shè)計(jì)者注重在文件數(shù)據(jù)過濾功能上的設(shè)計(jì),進(jìn)而去除病毒文件,為用戶提供良好的網(wǎng)頁閱讀環(huán)境。3.3桌面數(shù)據(jù)庫安全漏洞在網(wǎng)站應(yīng)用系統(tǒng)中,假如用戶獲取某一數(shù)據(jù)庫的數(shù)據(jù)庫名及儲(chǔ)存途徑,則能將這一數(shù)據(jù)庫下載至本地。以網(wǎng)上圖書館為例,這類網(wǎng)站對(duì)應(yīng)的數(shù)據(jù)庫,通常將其命名成iLbrayr.mdb等,儲(chǔ)存途徑一般選擇放在根目錄下,在把握上述信息后,可將圖書館網(wǎng)站的數(shù)據(jù)庫下載到本地中[3]。由于部分?jǐn)?shù)據(jù)庫的名稱及儲(chǔ)存途徑容易被別人把握,這就將對(duì)數(shù)據(jù)庫安全帶來不利影響,無法實(shí)現(xiàn)數(shù)據(jù)庫信息的安全。當(dāng)存在數(shù)據(jù)庫安全漏洞時(shí),將造成網(wǎng)站數(shù)據(jù)流失,因而,要求設(shè)計(jì)人員在網(wǎng)站開發(fā)階段,能采取適當(dāng)?shù)陌踩雷o(hù)措施。如采用ASP程序來盡可能減少ODBC數(shù)據(jù)的運(yùn)用,利用上述做法能有效避免數(shù)據(jù)庫名稱存在運(yùn)行程序中,進(jìn)而提高數(shù)據(jù)庫安全性,保證華而不實(shí)數(shù)據(jù)信息不會(huì)被惡意毀壞。3.4逃避驗(yàn)證漏洞在進(jìn)行動(dòng)態(tài)網(wǎng)頁設(shè)計(jì)技術(shù)安全漏洞分析時(shí),還應(yīng)注意到逃避驗(yàn)漏洞對(duì)網(wǎng)站信息安全造成的不良影響,并能通過采取相應(yīng)的解決措施,來做到對(duì)安全問題的有效防備。逃避驗(yàn)證漏洞指的是存在部分用戶在閱讀網(wǎng)頁經(jīng)過中,已經(jīng)對(duì)網(wǎng)站登錄驗(yàn)證程序的文件名及界面信息等有所了解,這種情況下,登錄界面無法發(fā)揮其驗(yàn)證用戶身份的作用,用戶能在不登錄系統(tǒng)的情況下進(jìn)入網(wǎng)站,并通過界面操作來查詢和利用網(wǎng)站內(nèi)信息。上述網(wǎng)頁設(shè)計(jì)安全漏洞現(xiàn)象主要是由于網(wǎng)頁設(shè)計(jì)不嚴(yán)謹(jǐn)造成的,為了解決這一問題,需要設(shè)計(jì)人員在進(jìn)行登陸網(wǎng)頁界面設(shè)計(jì)時(shí),增加身份限制這一功能,使得用戶只能通過賬號(hào)登錄進(jìn)行系統(tǒng),能極大程度加強(qiáng)網(wǎng)站安全性。3.5源代碼安全漏洞源代碼安全同樣是進(jìn)行動(dòng)態(tài)網(wǎng)頁設(shè)計(jì)時(shí)需要注重的問題,為了加大對(duì)源代碼安全性的保衛(wèi),在實(shí)際設(shè)計(jì)經(jīng)過中,通常采取在網(wǎng)頁代碼上增設(shè)加密程序的設(shè)計(jì)方式方法,在加密技術(shù)作用下,能有效加強(qiáng)網(wǎng)站系統(tǒng)內(nèi)部信息的安全。在源代碼安全漏洞問題解決對(duì)策的選擇上,一般采用下面兩種方式方法:一是利用DLL文件作用,將邏輯語言進(jìn)行封裝處理,以免由于信息被竊取而造成嚴(yán)重的網(wǎng)絡(luò)安全問題;二是在微軟ScriptEncoder作用下,做到對(duì)頁面的加密處理。上述做法主要目的在于加大對(duì)系統(tǒng)源代碼的保衛(wèi),是較為常見的網(wǎng)頁設(shè)計(jì)安全漏洞解決措施,華而不實(shí)DLL文件能通過封裝語言信息來對(duì)系統(tǒng)進(jìn)行保衛(wèi),有利于提高網(wǎng)站系統(tǒng)的安全系數(shù),是動(dòng)態(tài)網(wǎng)頁設(shè)計(jì)主要目的。4.結(jié)論綜上所述,在信息化時(shí)代下,計(jì)算機(jī)技術(shù)獲得了創(chuàng)新發(fā)展,在網(wǎng)絡(luò)技術(shù)不斷普及的情況下,對(duì)網(wǎng)站建立嚴(yán)謹(jǐn)性提出了更高層次要求。在進(jìn)行動(dòng)態(tài)網(wǎng)頁設(shè)計(jì)經(jīng)過中,通常需要運(yùn)用到多種程序設(shè)計(jì)方式方法,在程序交織作用下,容易造成系統(tǒng)產(chǎn)生漏洞問題。為了加強(qiáng)網(wǎng)站信息安全性,需要完善動(dòng)態(tài)網(wǎng)頁設(shè)計(jì),并能在有效躲避網(wǎng)頁安全漏洞的基礎(chǔ)上,確保網(wǎng)站性能的有效發(fā)揮,為用戶提供安全的信息查詢環(huán)境,是提高動(dòng)態(tài)網(wǎng)頁設(shè)計(jì)質(zhì)量的關(guān)鍵。以下為參考文獻(xiàn)

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論