如何规划安全分析中网页设计?

办公百科2022-04-01 02:26:22佚名

如何规划安全分析中网页设计?

  网站中有全面的企业信息,用户可以通过网站信息对企业形象和企业产品有一个全面认识,它是企业和用户之间的一种重要交流工具,为企业和用户交易活动的达成提供了有力保障。网站是现代企业发展的关键,也是电子商务的重要表现途径,具有重要意义。网页设计工作是网站建设工作的重要组成部分,企业网站各项内容的建设其实质是网页设计的有机结合,网页设计质量的高低对网站实际作用效果的好坏有直接影响。ASP、PHP或JSP等脚本语言是网页设计较为常用的服务器端网页设计技术,ASP、PHP或JSP等脚本语言的应用为网站技术开发人员的开发工作提供了便利,使网站资源的管理更为高效、便捷,促进了用户与网站之间的沟通交流,用户通过网站可以及时了解企业动向、参与企业的论坛交流、企业产品相关信息、在线调查以及贸易合作等。
  
  1对网页设计中安全漏洞形成原因及对企业所造成危害的分析
  
  企业与用户之所以可以通过网站进行交互是通过脚本语言编程技术实现的,脚本语言编程一旦出现问题,就会对网站造成不同程度的威胁,形成相应的安全缺陷,为企业内部信息带来巨大风险。用户输入什么信息内容是无法预测的,具有不可控性,在网页设计过程中如果开发人员对用户输入的信息内容考虑不全面或未考虑该方面内容,对网站来说此用户所输入的内容很可能成为一种攻击企业网站的危险工具,对企业网站的正常运行造成不利影响。企业网络服务器与ASP、PHP或JSP等网页脚本语言编程是直接相连的,网页脚本语言还与网站设置、网站数据库有着密切关联,脚本语言编程一旦出现问题,就会使整个网站存在安全缺陷,牵连甚广,企业网页受到攻击之后可能导致企业内部信息被窃取甚至造成整个网络瘫痪的不良后果,给企业带来巨大损失。

  2对网页设计常见安全漏洞的分析及相应的解决方案
  
  2.1登陆验证中存在的安全漏洞及解决方案登录验证是聊天室、信息网会员区、论坛等交互性网站中必不可少的一部分,虽然在整个网站运行中登陆验证只是其中的一小部分,却对整个网络的安全运行至关重要,它是整个网站的安全之口。在网页设计过程中,开发人员常常忽略掉这一环节的设计工作。网站开发人员编程的不严谨致使当前很多企业网站都存在登陆验证的安全漏洞,安全关口验证程序的不到位为网络安全埋下了巨大隐患,会让不法分子有机可趁,为企业造成不必要的损失。针对登陆验证漏洞问题,我们采取了以下解决方案:通过注册限制的设定有效避免非法账户密码的申请,对解决以上问题非常有效;其次,在SQL登陆查询语句生成之前,先对用户信息进行过滤(用户名和用户密码),避免非法账号密码的应用;最后,在对用户进行验证之前,先验证用户的用户名是否合乎标准,确认用户名属实后,在对密码进行验证。
  
  2.2桌面数据库安全漏洞及解决方案在ASP+Access应用系统中,网站一般会为用户提供部分信息的下载权限,如果用户知道Access数据库的数据库名和存储路径,就可以将其他信息也下载下来,就会造成数据的流失。多数网上图书馆Access数据库的存储路径多以根目录“(URL/”)下或“URL/database”为主,该类数据库通常会被命名为Library.mdb或与之相关的名称。用户了解该信息之后,只需在浏览器中输入“URL/database/Li-brary.mdb”或相关地址信息,就可以进入网上图书馆,并将图书馆中的其他信息下载到用户本地电脑中。为解决桌面数据库安全漏洞问题,在网站设计中,ASP程序应该采用ODBC数据源,通过采用ODBC数据源可以有效避免数据库名称直接出现在运行程序中的问题,ASP源代码即使出现泄漏问题,数据库名称也不会因此而被窃取或流失,为网站的安全运行提供了有力保障。以下一段ASP程序代码就是利用一般数据库编写的:DBPath=Server.MapPath“(./akkjj16t/acd/kjhgb661/avccx55/faq19jhsvzbal.mdb”)conn.Open“driver={MicrosoftAccessDriver(*.mdb)};dbq=”&DBPath。如果该段ASP源代码失密后,数据库相关信息也会被窃取,用户可以轻易将数据库信息下载下来。如果ASP程序代码利用ODBC数据库编写,则不会存在conn.ope“nODBC-DSN名,ASP源代码即使出现泄漏问题,数据库名称也不会因此而被窃取或流失。
  
  2.3绕过验证直接进入相关页面的漏洞及解决方案在进入某些敏感页面前,系统首先会对用户进行身份验证,如果用户知道了与敏感页面相关的网页设计页面的路径及文件名,并且该页面又没有设置验证程序,此时用户只要输入该设计页面的文件名就可以进入设计页面,成功绕过登陆验证界面的筛选。为提高网站安全性能,开发设计人员必须对与之相关的页面设置身份验证程序,对用户进行身份验证。
  
  2.4文件上传漏洞及解决方案同学录、交友网站等类似网站系统都有文件上传功能,企业通过网站文件上传可以进一步增进与用户间的交流互动,但网站开发者对用户所提交的信息缺乏充分的分析和必要的过滤,很多恶意攻击者会利用这一漏洞在网站上上传病毒文件、恶意文件等不良信息,这些有毒文件可能会对系统数据库造成不同程度的损坏,某些网站攻击者甚至以Web权限在系统上执行任意命令。通过加入文件类型判断模块可以有效解决文件上传漏洞,对用户上传文件进行充分的分析和必要的过滤。当系统要求用户上传图片文件,用户只能以系统指定的JPG、GIF文件格式才被允许上传,像*.PHP、*.ASP、*.JSP、*.EXE等格式的程序文件是不被允许上传的。
  
  2.5源代码泄露漏洞及解决方案为有效避免源代码被窃取、遭泄露的威胁,开发者在网站设计过程中应该对页面代码进行加密处理,使网站的整体安全性能得到大幅度提高。ASP网页加密方法一般包括以下两种:通过采用微软的ScriptEncoder对ASP网站页面进行加密;通过采用组件技术将编程逻辑封装到DLL当中,防止信息的丢失。当采用组件技术方案时必须对每段代码均需组件化,该项方案的工作量较大、操作较为烦琐,与之相比ScriptEncoder加密方案具有成效佳、操作简单等显著优点,将其用于解决源代码泄露漏洞问题可以取得较好的效果,其优点主要有:HTML具有较好的可编辑性,系统其他部分无需变化,ScriptEncoder只加密在HTML页面中嵌入的ASP代码,通过采用Dreamweaver或FrontPage等常用网页编辑工具对HTML部分进行修改、完善;ScriptEncoder具有制作简单的优点,通过几个简单命令行参数即可完成多功能操作。
  
  3总结

  
  通过本文中列出的相关的安全解决方法,在网站的建设中充分考虑网络的安全性,有效的降低了网络系统的安全漏洞,加强了网络的安全性。

本文标签: ,网页设计  ,安全漏洞  ,标签  ,简介  

相关推荐

猜你喜欢

大家正在看