网站建设中网页设计的安全漏洞及解决对策.docxVIP

?

?

网站建设中网页设计的安全漏洞及解决对策

?

?

论文导读：网页设计安全漏洞的形成ASP、PHP或JSP等脚本语言作为典型的服务器端网页设计技术，为网站开发人员提供了简单高效的动态Web应用程序开发方法。源代码泄露漏洞为有效防止源代码泄露，可以对页面代码进行加密。

关键词：网址,加密,网络安全,活动服务器页面,服务器端网页设计

0引言随着网络技术和网络规模的不断发展以及电子商务的兴起，许多企业都建立了自己的商务网站，针对网络和计算机系统的攻击已经屡见不鲜,在构建网站的时候，都会考虑网络安全问题，对于网络安全的投入较大，如使用防火墙、入侵检测、企业防病毒等安全产品，但网站还是有被攻击,甚至完全被控制的可能。因为企业的网站一般都采用ASP、PHP或JSP等脚本语言来连接数据库，取得数据库里面的数据生成动态网页。当一个网站完全建立后，程序会很多，特别是网页设计的特殊性，服务器与用户的交互程序更多，所以，程序的漏洞也会增多，给网站带来不可估量的安全隐患，这些程序漏洞比网站服务器的漏洞更为严重[1][2][3]。

1网页设计安全漏洞的形成ASP、PHP或JSP等脚本语言作为典型的服务器端网页设计技术，为网站开发人员提供了简单高效的动态Web应用程序开发方法。在网站设计时，使用上述脚本语言编程可以更好地管理网站资源，增加网站与浏览者之间的交互，如新闻发布系统、产品管理系统、会员管理系统、论坛反馈系统、在线调查系统、在线订单系统和留言板系统等，其共同点是用户输入很多资料，与其他浏览者交流或者与网站管理者交流。发表论文。而交互正是漏洞形成的一大原因，因为用户输入信息不可预测，如果程序没有考虑或者考虑不全面，用户输入就有可能成为攻击事件，且不管有意还是无意。网页编程直接和服务器打交道，与网站目录、网站数据库设置、系统设置相关，通过这些程序访问网站目录、设置等所有服务器内容，若程序设计有漏洞，即网站有漏洞。

2网页设计的安全漏洞及对策2.1登陆验证漏洞凡带有交互性的网站，包括论坛、聊天室、信息网会员区、网上影院等，登陆验证是必不可少的组成部分。。虽然登陆的验证程序只是网站整体的一部分，但却是网站的安全关口。网站设计者容易疏忽这一点，没有处理好口令验证程序的关口，以至他人趁虚而进，甚至造成重大影响与经济损失。许多网站都存在一个登陆验证的漏洞，而这个漏洞是在编写程序验证账号密码时由于程序不严谨而造成。发表论文。如在设计网站会员区时，都会将账号、密码放在一个叫“User”的数据表中，并设置“username”和“password”两个字段分别表示用户的登录名称和登录密码。当验证时，检查用户输入的两个参数是否存在于这个数据表，如果存在，证明这个用户合法；不存在，证明用户不合法，而漏洞就出现在这段验证代码上。

在登陆验证(以asp为例)中常会用SQL查询语句来判断该用户是否为站点的合法会员。

!--连接数据库--

!--#includefile=dbconn.asp--

%

Dimrs

Setrs=CreateObject(“Adodb.Recordset”)‘定义一个Ado数据集实例

rs.source=select*fromuserwhereusername=’”username“’andpassword=’”password“’”

‘连接登陆验证语句字串

rs.openrs.sourc,conn,1,1‘执行查询语句

...

%

当根据以上的SQL语句构造一组特殊的用户名和密码，例如用户名为该网站任意一个存在的用户名Admin，密码为aora=a，则程序中SQL变量的值将会变成sql=“select*fromusernamewhereusername=’a’andpassword=’a’or’a’=’a’”显然，该查询语句的逻辑原意已被彻底改变，一个逻辑运算符or使用整个逻辑条件为真，即这条SQL口令验证语句已经失去了效用，只要知道了任意一个存在的用户名就可以成功地进入到敏感区域。

解决漏洞的方案如下：

1）生成SQL查询语句之前，对用户输入的参数(用户名和密码)进行过滤；

2）先查询用户名再进行密码验证。

2.2绕过验证直接进入设计页面漏洞每个敏感的页面必须进行身份验证，如果用户知道了一个设计页面（如用ASP）的路径和文件名，而这个页面又没有验证的程序，则用户可直接输入这个设计页面的文件名，即绕过了登陆验证，直接进入了指定的页面。。网站设计者除了登陆验证外还必须在有关页面进行身份验证，才能提高站点的安全指数。发表论文。

2.3桌面数据库被下载漏洞在ASP＋Access应用系统中，如果获得Access数据库的存储路径和数据库名，则该数据库可以被下载到本地。。如对于网上图书馆