摘要:随着互联网的发展, 互联网+时代的到来, 网站更能快速且直观体现企业的文化和变化。在网站建设中, 网页设计工作是重要内容。同样的, 网络上不怀好意的网络攻击和黑客也迅速的出现, 网页设计中的安全缺陷及对策分析更显重要。
关键词:网页设计安全; 缺陷; 对策;
Security Defects and Analysis of Web Design in Website Construction
MA Rong-ping
Bohai Shipbuilding Vocational College
Abstract:
With the development of the Internet and the arrival of the Internet + era, the website can more quickly and intuitively reflect the culture and changes of the enterprise. In the construction of the website, the web design work is an important content. Similarly, ill-intentioned cyber attacks and hackers on the Internet have also emerged rapidly, so security flaws and countermeasures analysis in web design are more important.
Keyword:
web design security; defects; countermeasures;
0 引言
至1998年3月, 中国第一笔互联网网上交易的成功, 随着科技日新月异的发展, 网络技术也在不断的飞速发展和更新。在这样的大环境下, 同样也促进了我国电子商务技术的迅猛发展。现今, 电子商务技术已经不再只是为互联网在线企业服务。更多的传统企业都开始关注到电子商务领域, 使得现今的电子商务平台更加丰富多彩。商务网站是通过手机、平板、笔记本等电子设备, 用网页、APP等不同的形式来展示企业的特点和形象。通过商务网站, 可以帮助加深用户对企业的全方位了解, 促进贸易合作的达成。在这里, 网页设计则是网站建设的关键工作。同时, 网络上不怀好意的网络攻击和黑客也迅速的出现, 掌握和了解在网页设计过程中会出现的安全缺陷, 同时分析和了解解决缺陷的方法显得更加重要。
1 在网页设计过程中常见的安全隐患
随着新型互联网产品的诞生, 基于网页环境的互联网应用也越来越广泛, 企业信息化的过程中各种各样的应用都会放在网页平台上来实现, 网页业务迅猛发展同样也引起了黑客们的强烈关注, 因此网页安全威胁也凸显出来, 攻击者可以利用Windows等操作系统自身的漏洞, 或者是利用网页服务程序中人机交互时的SQL注入漏洞等安全缺陷获得网页所在服务器的控制权限, 掌握了控制权限之后, 攻击者就可以篡改网页的原始内容和数据, 同时可以复制网页的内部数据。与此同时, 攻击者更可以在网页中加载木马等恶意代码, 使得被攻击的网站成为恶意代码的传播者。
在网站建设中除了要实现网站的基本功能之外, 设计者还需要考虑到网站的安全性。最近几年, 很多网站都曾被黑客攻击过。在网站安全性引起重视的时候, 黑客的技术也在不断的提高, 特别是利用ASP程序制作的网站, 一些网站访问起来很正常, 可是查看网站源代码时, 就会发现底部有很多不明含义的隐藏内容。那么, 网页设计中都有哪些常见的安全缺陷。
2 网页设计中常见的安全缺陷
2.1 登录验证漏洞
(1) 登录验证漏洞指的是攻击者绕过登录时的验证系统直接进入到其他页面的漏洞。例如有些网站的页面没有做用户登录验证系统功能设计。那么, 攻击者在收集到网站的页面完整路径和文件名后, 在浏览器的地址栏中直接输入完整URL路径, 就可以不进行验证而进入指定页面。
(2) 登录验证漏洞的另一种是登录验证页面漏洞。多数网站都有登录页面, 要求用户输入正确的用户名和密码后才可以进入页面, 而验证系统都是通过判定用户输入的用户名和密码是否存在于数据库中来进行。但是, 如果程序设计的不够严谨, 则会出现这种漏洞。
2.2 SQL注入漏洞
在网页设计中, 多数人机交互操作都是利用表单来实现的, 如果在设计过程中没有对用户输入数据的正当性进行判定的话, 攻击者可以在文本框中提交一段SQL查询代码, 根据程序返回的结果, 获得某些他想得知的数据, 这就是SQL注入。
2.3 文件上传的漏洞
文件上传漏洞指的是网络攻击者上传了一个可执行的恶意代码到服务器并被执行。在我们平时常用的很多网站中, 例如电子邮件网站、论坛等很多网站中, 都允许用户上传文件、图片、视频等内容到网站服务器中。如果网站的开发人员没有做好身份的认证和数据的过滤排查, 很有可能被黑客利用。黑客可以利用如Telnet服务等功能对网站内容和数据进行修改和破坏。这里上传的恶意文件可以是木马程序、病毒, Webshell或者恶意脚本等。这种攻击方式直接、简单又有效。
2.4 网站缺乏授权[1]
有些网站在进行网页编程设计时, 程序设计人员往往会使用比较繁琐的网络安全配置, 使得网站往往缺乏授权, 这就造成了网络服务在其应用运行中出现非常巨大的网络运行安全缺陷。利用这些安全缺陷, 网络黑客们可以很容易地对网站的网络服务器进行远程的入侵和破坏, 给网站的安全和企业的经济利益带来了巨大的威胁和危害。再加上软件设置的密码简单或是网络入口的防火墙性能设置过低等安全缺陷, 也可以让网络黑客和网络病毒能够非常容易的对网站造成侵入和破坏。
2.5 网页病毒的传播
网页病毒是现今最常见的安全攻击。病毒具有寄生性、传染性、可触发性等特点。这些计算机病毒都是攻击者事先设计好的可执行文件。例如在网页文件中嵌入Script语言编写的恶意代码, 这种Script代码可以利用浏览器的漏洞来实现病毒植入。当用户登录这些网站时, 编写好的Script代码会被执行, 网页病毒一旦被触发, 就可以对网页服务器资源进行篡改。例如, 我们在上网时经常会发现打开某个页面后, 360安全卫士会提醒有程序正在修改浏览器首页。这就是网页病毒的一种现象。病毒和木马程序也有可能会关闭网页中的部分功能, 使得用户无法正常使用网站系统等。最简单的方式就是网页自动跳转程序, 而这种网页病毒编写起来比较容易, 而且攻击也很直接。
3 常见网页设计安全缺陷解决对策
3.1 解决登录验证安全缺陷[2]
很多网站在进行用户登录时, 多会使用人机交互界面完成登录验证。而网站的设计者对验证程序没有做到全面的考虑, 这样很容易产生登录验证安全缺陷, 造成Script Language编写程序在对用户账号密码进行验证工作时出现问题。
针对登录验证安全缺陷这个问题, 可以通过下面的方法解决:首先在注册用户名和密码时添加注册限制, 对于非法的用户名和密码不准申请;其次, 在利用SQL语句进行登录查询时, 我们可以先过滤用户输入的信息, 在一定程度上防止非法账号及密码的应用;接下来, 在进行用户验证时, 不急于对用户名和密码同时进行匹配, 而是先对用户名进行验证, 等用户名匹配成功之后, 再进行密码的验证工作。这样可以减少查询时间, 提高查询效率。
3.2 SQL注入漏洞的预防
SQL语言是网站设计中必不可少的后台数据库语言。在SQL语言中有一些特殊字符如“*”等, 这些特殊字符是为了完成模糊匹配的。可有些网站设计人员在网站设计初始, 没有考虑到SQL语言的书写规范和特殊字符的应用, 产生SQL注入漏洞, 导致攻击者通过表单提交中的全局变量GET和POST把SQL语句提交并执行。
针对于这一问题, 具体的解决方法包括:可以打开配置文件中的magic_quotes_gpc和magic_quotes_runtime的设置;设置register_globals为off;关闭全局变量注册;最后, 在给数据库和数据表字段进行命名时, 特别是一些重要字段命名时, 不要取一些很容易被猜到的名字。例如“姓名”字段最好不要命名为“name”字段。
3.3 文件上传漏洞的解决方案
文件上传漏洞产生的原因主要是攻击者通过网站上提供的“上传文件”功能, 把一些恶意的可执行文件上传至服务器, 并通过它获得对服务器的控制权。可以通过下面几个方面来解决文件上传漏洞:首先把文件上传的目录设置为不可执行, 这样一来, 此目录只能存放文件, 不能做其它操作;其次, 文件类型的判断。要对上传的文件进行判断, 可执行文件等特殊类型的文件不可以上传保存;最后, 使用随机数改写文件名和文件路径;单独设置文件服务器的域名。
3.4 Web安全加固[3]
针对网页篡改的攻击方法多种多样。如果想要网页不被篡改, 最直接的方法就是在设计网页时采取一定的措施来避免被篡改的网页从服务器中流出去。同时, 加固网页使其不容易被修改。前者我们可以使用硬件的方式来实现。而后者, 我们可以通过网页设计和应用程序来实现。到目前为止两种防护功能的相互整合程度还不是很高。
在现今不断发展的信息技术时代, 网络无处不在, 我们的很多信息都是通过网站获得, 所以网站技术就成了一项很重要的内容。网页设计中经常使用的服务器端设计程序主要包括Active Server Page、Hypertext Preprocessor、Java Server Pages等脚本语言, 正是这些脚本语言为网站开发提供了平台。利用ASP、PHP、JSP等脚本语言搭建的网站后台程序, 不论是程序开发阶段, 还是程序后期维护阶段, 对于设计开发人员来说都非常的高效、便捷, 而且实现起来也是比较容易的。一个功能健全而使用安全的网站所涉及到的程序内容有很多, 又因网页设计的特殊性, 使得利用表单等功能实现的人机交互更为频繁, 用户输入什么信息内容是网页设计者无法预测的, 此时网页设计中安全隐患就会暴露出来, 用户的输入内容就有可能对网站造成不同程度的攻击。在网站设计的过程中, 除了上面介绍的几种安全缺陷以外, 还有很多其它的安全缺陷。因此, 在建设网站时一定要多多注意网站的安全性, 请在完成网站设计功能的基础上, 在一定程度上注意提高网站的安全性。
参考文献
[1]张丽君.基于网站建设中网页设计的安全缺陷及对策分析[J].中国信息化, 2012 (20) .
[2]邢太北.分析网站建设中网页设计的安全缺陷对策[J].软件设计开发, 2012 (15) .
[3]钱能, 杨杰.网站建设中网页设计的安全缺陷及对策分析[J].无线互联科技, 2016 (20) .