分析網站建設中網頁設計的安全缺陷及對策

摘要：網頁設計工作，作為網站建設中的重要內容，在網站建設過程中起到了非常重要的作用。網頁設計強調精確化和嚴格化，如果網頁設計不合理，技術缺陷等問題的發(fā)生，都將會導致網頁設計出現安全缺陷，從而給企業(yè)帶來非常大的影響。本文就網站建設中網頁設計的安全缺陷展開分析和論述，指出了常見的網頁設計缺陷，并提出了有效的解決對策。

關鍵詞：網站建設；網頁設計；安全缺陷；對策

中圖分類號：TP393.092 文獻標識碼：A 文章編號：1007-9599 （2012） 15-0000-02

隨著我國科學技術的不斷發(fā)展，網絡技術的快速更新和完善，促進了我國電子商務技術的發(fā)展，目前，電子商務技術應該成為企業(yè)經濟進步的重要手段。商務網站，是電子商務的主要應用途徑，以網頁的形式展示企業(yè)的形象和產品，從而幫助用戶對企業(yè)做以全方位的了解，促進貿易合作的達成，可見，網站建設的好壞，將直接影響到企業(yè)的經濟效益。網頁設計作為網站建設的關鍵工作，目前越來越受到企業(yè)的重視，如果網頁設計工作出現問題，將會導致企業(yè)網站的運行問題，從而為企業(yè)帶來巨大損失。

1 網頁設計中安全缺陷的形成原因

網站，是用戶同企業(yè)之間的一種重要交流方法，網站為用戶提供了全面的企業(yè)信息，幫助用戶了解企業(yè)產品和企業(yè)形象，從而促進用戶與企業(yè)交易活動的達成，可以說，網站是電子商務的重要表現途徑，是企業(yè)的重要資產，也是現代企業(yè)發(fā)展必不可少的重要手段。網頁設計，就是對企業(yè)網站各項內容的建設，網頁設計的好壞，直接影響到網站的實際作用效果。隨著科學技術的不斷發(fā)展，大量先進設計軟件的應用，很大程度上實現了網頁設計的快速化和高效化，為網站開發(fā)人員的工作提供了強有力的支持。

在網站設計過程中，腳本語言編程技術可以更好的管理網站資源，實現網站同用戶之間的交流和溝通，便于用戶了解企業(yè)動向、企業(yè)產品、參與企業(yè)的論壇交流、在線調查以及貿易合作等等，為網站功能的實現提供了可靠的保障，為企業(yè)的發(fā)展提供了持久的動力。但是，由于網站依靠腳本語言編程技術實現了用戶同企業(yè)信息的交互，腳本語言編程出現問題，則造成嚴重的安全缺陷，給企業(yè)網站和內部信息帶來非常大的風險。由于用戶輸入信息不同于企業(yè)信息，用戶的輸入信息存在非常大的不可控性，如果網站開發(fā)人員沒有對用戶信息進行充分的考慮和詳細的分析，將會導致用戶輸入內容成為一種攻擊企業(yè)網站的危險工具，從而影響到網站的正常運行，形成攻擊時間。網頁腳本語言編程直接同企業(yè)網絡服務器相連接，同網站的數據庫、網站設置都有著密切的聯系，如果玩站程序設計存在缺陷，就會使得網站整體存在缺陷，一旦出現攻擊事件，就會給企業(yè)網頁帶來非常大的影響，最終導致網絡癱瘓和信息竊取等問題的發(fā)生，給企業(yè)帶來非常大的損失。

2 常見網頁設計安全缺陷及相關解決對策

網頁設計中的安全缺陷，將會給企業(yè)網站的穩(wěn)定性造成非常嚴重的影響，使得網站的安全性能大大降低，增加企業(yè)的網絡運行風險，制約著企業(yè)電子商務技術的發(fā)展。網頁設計中的安全缺陷主要包括登陸驗證缺陷、逃避驗證安全缺陷、桌面數據庫安全缺陷、源代碼安全缺陷、文件上傳安全缺陷等問題，在實際網頁設計過程中，我們應該重視對相關問題的解決和控制，避免安全事件的發(fā)生，確保企業(yè)網站運行的穩(wěn)定性，促進企業(yè)電子商務活動的正常開展。

2.1 登陸驗證安全缺陷

用戶登陸是用戶網站活動中必不可少的行為和工作，用戶名的建立和登陸，便于企業(yè)對用戶信息的管理和掌握，便于企業(yè)相關工作活動的開展，而對于用戶來說，登陸名的建立能夠更好的維護個人利益，避免相關隱私信息的泄露。用戶登陸過程中，需要對用戶信息進行驗證和確認，因此，登陸驗證程序，是網站運行程序中的重要部分，是網站的一道安全關口。目前，許多網站開發(fā)人員都會忽略用戶登陸驗證環(huán)節(jié)，沒有充分考慮登陸驗證的重要性和關鍵性，沒有采取有效手段來加強登陸驗證程序的穩(wěn)定性，致使部分人員乘虛而入，對網站安全造成嚴重的影響，帶來巨大的經濟損失。目前，許多網站都會存在登陸驗證安全缺陷，這一問題的原因主要由于網站開發(fā)人員沒有全面分析驗證程序風險，使得驗證程序不嚴謹，造成腳本語言編寫程序在對用戶賬號密碼進行驗證工作時出現問題。

比如，網站開發(fā)人員在實現用戶名登陸和驗證工作時，往往需要在數據庫中的user數據表內進行相關程序的編寫，以username和password分別表示用戶登錄時所輸入的賬號名稱和登陸密碼。當用戶在進行相關信息的錄入時，如果用戶所輸入的參數能夠在數據表內搜尋到，則證明用戶信息屬實，用戶登陸合法，允許用戶各項功能的使用，法制，則證明用戶信息的不合法，從而不允許其對網站信息的訪問。判斷用戶信息合法性的主要依靠SQL查詢語句進行，如果網站某一用戶賬號為Admin，用戶密碼為為a' or 'a'='a，則依靠SQL查詢語言所獲取的反饋內容則為變更為SQL=“select * from username where username=’a’ and password=’a’ or ’a’=’a’”，使得查詢結果同實際信息存在非常大的區(qū)別，從而使得用戶登陸驗證失去有效性，使得任意存在用戶名都可以進行網站的訪問，從而給網站運行帶來非常大的影響。

針對于這一問題，具體的解決方法有：設定注冊限制，避免非法賬戶密碼的申請，從而有效避免相關問題的發(fā)生；其次，在進行SQL登陸查詢時，先對用戶信息進行過濾，防止非法賬號密碼的應用；最后，在進行用戶驗證時，先對用戶名進行驗證，待用戶名屬實后，再進行密碼的驗證工作。

2.2 逃避驗證安全缺陷

所謂逃避驗證安全缺陷，就是部分用戶在進行網站瀏覽的過程中，由于掌握了設計界面的路徑或文件名，且這一界面不存在用戶登陸限制，從而使得用戶能夠直接通過輸入設計頁面的文件名，而逃避用戶登陸環(huán)節(jié)，進入頁面并實現對網站信息的閱讀和內容的訪問。為防止逃避驗證安全缺陷的發(fā)生，網站開發(fā)人員進行加強對網頁信息的保密工作，避免相關數據的泄露。同時，網頁設計人員應該加強對網站相關重要頁面進行身份驗證限制，使得用戶無法避免身份驗證工作，提高網站各站點的安全系數。

2.3 桌面數據庫安全缺陷

桌面數據庫安全缺陷主要發(fā)生于ASP+ Access應用系統(tǒng)中，一般來說，網站都會為用戶提供部分信息的下載功能，但是，如果用戶獲得Access數據庫的存儲路徑和數據庫名，就能夠將數據庫中的其他信息下載到用戶本地電腦，從而導致網站相關數據的流失。因此，在實際網站開發(fā)過程中，ASP程序應該盡量使用ODBC數據源，這樣能夠有效避免數據庫名稱被直接寫入運行程序，從而有效提升了數據庫信息的安全性能，避免ASP數據庫內相關資料的流失和竊取，確保良好的網站運行環(huán)境。

2.4 源代碼泄露缺陷

為避免網站源代碼的泄露和竊取，在實際網站設計過程中，可以對網站頁面代碼進行加密處理，從而提升網站的整體安全性能。一般來說，進行ASP頁面加密的方法主要有兩種，第一種是將變成邏輯語言通過組件技術將其封裝入DLL文件中，以避免信息的丟失；第二種方法則是依靠微軟Script Encoder對ASP頁面進行加密。DLL封裝方法是一種較為傳統(tǒng)的代碼加密方法，操作比較繁瑣，工作量較大，隨著Script Encoder的逐漸推廣，DLL封裝方法逐漸被淘汰，目前，多是應用Script Encoder實現對代碼的加密，從而提高網站的安全性能。

2.5 文件上傳缺陷

對于社區(qū)網站以及交友網站等，多具有文件上傳功能，以促進用戶間的交流和溝通，是網絡生活的重要做成部分。文件上傳缺陷，就是指用戶在進行文件上傳時，設計者沒有充分對用戶上傳信息參數進行分析和限制，從而導致惡意文件的穿上，對網站數據庫造成破壞。為解決文件上傳缺陷，應該在網站系統(tǒng)中添加判斷程序，在獲取用戶文件上傳請求后，對文件進行判斷，確保文件信息的可信任度，避免非法軟件對網站系統(tǒng)的破壞。

3 總束結

網站建設對于企業(yè)的發(fā)展具有非常重要的意義，實現網站建設的重要手段則是網頁設計技術，因此，在進行網站建設時，一定要加強對網站缺陷和危險因素進行充分考慮，加強網站安全維護程序，加強對上傳信息的分析和處理，從而確保網站的運行效果，提高網站的安全性能，促進我國電子商務技術的快速發(fā)展。

參考文獻：

[1]王志業(yè).動態(tài)網頁設計技術的安全漏洞及解決辦法[J].安徽科技，2009（10）

[2]龔靜，曾莉.淺談網絡攻擊與防范策略[J].安慶師范學院學報（自然科學版），2010（03）

[3]唐洪英，付國瑜.IP源地址偽造問題研究[J].重慶工學院學報，2008（11）

[4]劉霞.淺析ARP協議工作原理[J].出國與就業(yè)（就業(yè)版），2011（08）