浅析动态网页设计技术的安全漏洞及解决办法

2018-04-15 23:21哈尔滨工业大学交通学院屈子傲
电子世界 2018年13期
关键词:安全漏洞漏洞网页

哈尔滨工业大学交通学院 屈子傲

前言

随着网络规模的扩大化及电子商务的发展,促使企业注重其内部商务网站的建立,在构建网站系统时,需要加大对安全问题的重视,以便确保企业经济活动在安全的网络环境下进行。虽然入侵检测、防火墙等安全防护技术已经被大量应用在网站建设中,但是由于动态网页设计的复杂性,可能导致网页设计过程中存在较多程序漏洞,从而不利于网站正常运营,因此,有必要加大对网业设计技术安全隐患解决措施的研究。

1.动态网页设计安全漏洞的形成

在进行动态网页设计时,通常会运用到PHP、ASP或JSP等语言,在这些脚本语言作用下,能为动态网页设计提供应用性较强的设计工具,并能起到简化程序开发流程的作用。在实际设计中,应用上述脚本语言进行程序编程能提高网站管理水平,加强浏览界面与用户间的交互作用[1]。例如,企业在建立网站系统时,将在其中设置产品管理系统、信息发布系统、论坛交流系统等多个功能模块。这些功能模块的共同点在用户将大量信息导入系统中,以便借助系统信息传播作用,使得用户与用户间、用户与网站管理者间能进行实时沟通互动,确保在信息有效共享的条件下,为用户提供针对性服务。但是由于网站的交互特点,将导致系统可能存在安全漏洞,由于用户数据信息是不可预测的,如果程序不能对相关信息作出适当反应,则用户输入信息可能对网站安全性造成危害。为了解决上述问题,要求网页设计人员能从保障网站信息安全性这一角度出发,以便取得较好的动态网页设计效果。

2.动态网页设计安全漏洞的分类

网页设计安全漏洞通常包括登陆验证界面漏洞和直接进入界面漏洞等。当网页设计人员在登录界面设计时,忽视对系统安全性的保护,在实际设计阶段没有做到对登录界面的严格限制,将对系统安全性造成不利影响。而从直接进入界面这一漏洞角度出发,部分界面可直接根据数据库中已有信息登录系统中,部分界面的登录不需要用户输入账号密码,是网页设计漏洞的体现。

3.动态网页设计安全漏洞及解决对策

3.1 登陆验证漏洞

登陆验证是各类网站系统应具备的基础功能之一,如聊天室、网上影院以及论坛等网站,由于这些网站具有交互性特点,因此在用户进入网站前,需要进行登陆验证。可以说登陆验证环节是网站系统的主要构成部分,同时是保障网站安全运营的重要关口。为了做到对网站信息的保护,需要充分发挥登陆验证的安全防护作用。但是部分网页设计者容易忽视这一设计环节,在验证程序关口上的处理还有所不足,这就将导致非法用户入侵到网站中,将对网站用户带来经济损失。造成登陆验证存在漏洞的原因主要为,大部分网站在进行登陆验证相关程序的编写时,在验证账号身份程序方面不够严谨。例如,在进行网站会员区程序设计时,一般将用户账号和密码储存在一个独立的数据库中,并利用相应字段来表达用户账户名称和密码。在登录验证过程中,将检查用户导入的相关参数是否与数据库中信息相一致,如果信息一致,则说明用户合法。对于登陆验证界面设计来讲,如果验证代码编写不当,将产生安全漏洞[2]。

为了解决这个安全漏洞问题,要求设计者在进行各网站交互性动态网页设计时,应确保用户登录系统时的有关验证工作能合理开展,使得登陆验证程序在进行SQL查询后,能对用户身份加以验证,或者在用户进入系统对登陆账号进行严格审查,从而增强登录信息的安全性,是解决登陆验证安全缺陷的有效途径。另外,对于一些敏感网页来讲,当用户需要登陆浏览这类网页时,系统可要求用户进行二次登录验证,这一功能可通过网页设计来实现,进一步加大网页安全性。

3.2 文件上传安全性漏洞

大部分网站包括邮件服务系统、论坛等都能实现文件上传这一功能,但是设计者在进行用户上传参数设计方面缺少有效过滤,将造成远程违法分子利用设计漏洞向网站传输恶意文件,将对数据库造成严重危害。例如,iXmail中的脚本语言在对用户上传的文件缺乏信息过滤环节,将为攻击者创造上传恶意文件的机会,对服务器正常运作有不利影响。例如,设计者在进行文件上传有关网页的设计时,会选择将系统内文件储存在/tmp目录中,这种情况下,同户可针对文件信息进行远程访问,但是同样使得攻击者能借助Web登录权限在网站内部执行任意指令,是网页设计存在安全缺陷的主要原因。为了解决这一问题,在进行文件上传功能界面设计时,应能在文件上传前,设计文件类型识别模块,使得用户能通过界面提示进行相关操作,能在该模块作用下完成文件信息过滤过程。

例如,在用户上传图片类型的文件时,则系统规定只有GIF、JPG等格式的文件能上传,可有效限制恶意文件进入系统中。具体来说,文件上传功能是大多数网站重点设计功能之一,能为用户进行文件传输及储存等操作提供实施途径,并且部分邮箱和论坛等网站具有图片共享功能,以便满足用户需求。而对于用户量较大的网站来讲,用户在文件共享过程中可能夹带病毒文件,如果在网站设计阶段不能对这一问题加以防范,则会对网站安全性造成威胁。因此,要求网页设计者注重在文件数据过滤功能上的设计,从而去除病毒文件,为用户提供良好的网页浏览环境。

3.3 桌面数据库安全漏洞

在网站应用系统中,如果用户获取某一数据库的数据库名及储存路径,则能将这一数据库下载至本地。以网上图书馆为例,这类网站对应的数据库,通常将其命名成iLbrayr.mdb等,储存路径一般选择放在根目录下,在掌握上述信息后,可将图书馆网站的数据库下载到本地中[3]。由于部分数据库的名称及储存路径容易被他人掌握,这就将对数据库安全带来不利影响,无法实现数据库信息的安全。当存在数据库安全漏洞时,将造成网站数据流失,因此,要求设计人员在网站开发阶段,能采取适当的安全防护措施。如采用ASP程序来尽可能减少ODBC数据的运用,利用上述做法能有效避免数据库名称存在运行程序中,从而提高数据库安全性,保证其中数据信息不会被恶意破坏。

3.4 逃避验证漏洞

在进行动态网页设计技术安全漏洞分析时,还应注意到逃避验漏洞对网站信息安全造成的不良影响,并能通过采取相应的解决措施,来做到对安全问题的有效防范。逃避验证漏洞指的是存在部分用户在浏览网页过程中,已经对网站登录验证程序的文件名及界面信息等有所了解,这种情况下,登录界面无法发挥其验证用户身份的作用,用户能在不登录系统的情况下进入网站,并通过界面操作来查询和利用网站内信息。上述网页设计安全漏洞现象主要是由于网页设计不严谨造成的,为了解决这一问题,需要设计人员在进行登陆网页界面设计时,增加身份限制这一功能,使得用户只能通过账号登录进行系统,能极大程度增强网站安全性。

3.5 源代码安全漏洞

源代码安全同样是进行动态网页设计时需要注重的问题,为了加大对源代码安全性的保护,在实际设计过程中,通常采取在网页代码上增设加密程序的设计方法,在加密技术作用下,能有效增强网站系统内部信息的安全。在源代码安全漏洞问题解决对策的选择上,一般采用以下两种方法:一是利用DLL文件作用,将逻辑语言进行封装处理,以免由于信息被窃取而造成严重的网络安全问题;二是在微软Script Encoder作用下,做到对页面的加密处理。上述做法主要目的在于加大对系统源代码的保护,是较为常见的网页设计安全漏洞解决措施,其中DLL文件能通过封装语言信息来对系统进行保护,有利于提高网站系统的安全系数,是动态网页设计主要目标。

4.结论

综上所述,在信息化时代下,计算机技术取得了创新发展,在网络技术不断普及的情况下,对网站建立严谨性提出了更高要求。在进行动态网页设计过程中,通常需要运用到多种程序设计方法,在程序交错作用下,容易造成系统产生漏洞问题。为了加强网站信息安全性,需要完善动态网页设计,并能在有效规避网页安全漏洞的基础上,确保网站性能的有效发挥,为用户提供安全的信息查询环境,是提高动态网页设计质量的关键。

猜你喜欢
安全漏洞漏洞网页
漏洞
安全漏洞太大亚马逊、沃尔玛和Target紧急下架这种玩具
基于CSS的网页导航栏的设计
基于URL和网页类型的网页信息采集研究
三明:“两票制”堵住加价漏洞
漏洞在哪儿
网页制作在英语教学中的应用
高铁急救应补齐三漏洞
安全漏洞Shellshock简介
NSFOCUS 2010年2月之十大安全漏洞