张正做
浙江省食品药品检验研究院 浙江 杭州 310052
随着现代化社会快速发展,各企业和政府部门都在各方面加大投资与创新力度,网站作为对外信息发布的窗口受到越来越多的重视。当前,有许多企事业单位越来越多的在网站上开展各项工作,针对各类现代化技术应用,虽然扩大自身影响范围,但忽视网页设计安全性,使其设计存在安全缺陷及隐患,不但未达到预期发展要求,反而带来一定经济损失。对此情况,各企事业单位自身逐渐意识到网站设计防护功能重要性,把工作重心调整到网页设计安全性提升方面,从而能满足企业发展需求。
基于网页环境条件下,新型互联网产品及各项技术被广泛应用,企事业单位发展方向也发生相应的改变,结合自身发展状况,把各项工作都放在Web平台上开展,虽然提升了各项工作质量与效率,但是也逐渐引起了黑客们的关注,导致网页安全性受到威胁,黑客们能借助Windows系统自身漏洞或网页服务程序中人机交互SQL注入漏洞等,获取到网页服务器控制权限,并开始操控网页,随意篡改网页中的信息数据、相关内容等,更严重的是先复制网页内部信息数据,然后对原始信息数据破坏或删除,再注入木马病毒或恶意代码,使所删除的原始数据无法恢复,导致网站崩溃、瘫痪等。
虽然设计者们对网站安全重点保护,各项技术水平显著提升,但是黑客技术手段不断变化,使设计者们处于被动形式下,无法准确掌握黑客们的技术手段,加大网站安全监管难度[1]。
例如:黑客们根据ASP程序自身漏洞,可攻击网站、操控网站,虽然用户们依然可以对此类网站正常访问或使用,但是一旦查看网站源代码,就会发现有一些不明含义的隐藏内容,网页设计出现了安全缺陷,对网站安全性、稳定性等造成干扰或破坏。
(一)SQL注入安全缺陷。SQL注入,通过人机交互操作实现,那么在网站设计环节中,如果忽视对用户输入数据正当性考虑,就会为黑客们提供攻击条件,借助SQL注入环节,在查询SQL代码时可逐步返回程序,获取到相关信息据,会因SQL注入安全缺陷,导致网站系统及网页受到攻击、破坏。
(二)文件上传安全缺陷。文件上传安全缺陷,是指黑客们在网站上上传了一个可执行的恶意代码,使网站服务器被执行。如:电子邮件网站、论坛等,在网站功能设计方面具备文件、图片、视频等上传功能[2]。同时,完成文件上传操作后,相关内容会被储存到网站服务器数据库中。虽然为网络用户提供了储存各类内容的有利条件,但是因设计者忽视网站身份过滤、排查等功能设计,使网站服务器不会对网络用户身份进行限制,为黑客们攻击网站、获取信息数据等提供条件。
例如:黑客们利用Telnet服务功能,对网站服务器中所储存的信息数据进行复制、修改、破坏等。再上传木马程序、病毒等,导致网站服务受到恶意攻击,面临网站瘫痪等情况。
(三)登录验证安全缺陷。设计者对网站网页设计,考虑到用户们个人信息及相关内容的安全性,在用户登录网站时,会有一个登陆验证的程序设计。但是因登陆验证功能安全性较低,使黑客们在此环节中攻克登陆验证信息,直接进入到网站网页中,也会对网站系统造成破坏。
例如:登录验证页面漏洞,大部分网站会在网站登录页面上要求用户输入用户名、密码,然后才可进入到相关页面中。那么网站系统对用户身份信息的验证,只是单凭所输入的用户名与密码,但程序设计不严谨,则出现登录验证安全缺陷,依然使网站网页设计存在安全隐患。
(四)网站授权安全缺陷。部分设计者对网站网页编程设计,会繁琐地使用网络安全配置,但却没有考虑到网站授权情况,使网络服务运行环节中,存在巨大的网站授权安全缺陷[3]。基于此情况下,黑客们会利用网站授权安全缺陷,轻松地入侵到网站网络服务器中,并可以对网站服务器进行远程操控,无法确保网站安全性,导致企业经济利益受到严重的威胁。
(一)加大SQL注入预防力度。在网站设计中,SQL是必不可少的后台数据库语言,通常情况下,会以一些特殊性的字符代替,如:“*”。主要目的就是能够对相关内容进行模糊匹配,避免重要内容或信息数据直接暴露。但大部分设计者在网站设计初期,均忽视SQL语言书写规范性,导致特殊字符应用效果不佳,出现SQL注入设计安全缺陷。对此情况,还需引起设计者们的重视,能在SQL注入方面加大预防力度,先打开配置文件中的magic_quotes_gpc、magic_quotes_runtime;再设置register_globals处于off状态,并关闭全局变量注册;最后,对数据库、数据表字段重新命名,可确保SQL注入安全性。
在SQL注入过程中对数据库、数据表字段重新命名,要考虑到名字难易程度,不易被黑客们破译。如:姓名字段,不要以“name”字段命名。
(二)控制文件上传安全性。结合上述内容中对文件上传安全缺陷原因分析,了解到文件上传安全缺陷对网站系统安全性的影响,还需设计者能在此方面加大设计力度,通过控制文件上传安全性,避免恶意执行文件上传到网站服务器中。第一,针对文件上传功能设计,考虑文件类别,可设置文件目录,并在文件目录中分开处理可执行文件与不可执行文件。简单的说,文件目设置,就只能对可执行文件进行存放,而不可进行其它操作[4]。第二,根据文件类型做出合理化的判断。主要是在文件上传环节中,把除可执行文件的内容均进行阻挡,能控制黑客们恶意文件的上传。第三,采用随机数修改上传文件名字,并在文件上传路径上进行了多样化的创新,从而避免在文件上传环节中存在安全隐患。
(三)完善登录验证功能。完善登录验证功能,其一,在用户名注册、密码添加环节中就对用户身份进行了限制,如:非法用户及非法用户名等不准申请;其二,借助SQL特殊性语言与符号,会在用户名及密码登录后进行查询、验证,初步完成用户信息数据过滤工作,从根本上进行非法账号、密码的输入;其三,用户信息验证环节中,不急于各项信息数据的匹配,而是先验证用户名,待用户名验证成功,再验证密码,有效确保登录验证安全性。
(四)加固处理Web安全性。因网页篡改、攻击等方式较多,为避免网页设计存在安全缺陷,增强网站服务系统稳定性与安全性,还需在网页设计环节中加固处理Web安全性,确保网页 不易被修改[5]。基于此条件下,再搭配网页设计、应用程序,提升网页、网站系统防护功能性,如:Active Server Page、Hypertext Preprocessor、Java Server Pages等,应用 ASP、PHP、JSP等搭建网站后台程序,在网站后台程序开发阶段就考虑到整体安全性,制定完善的设计方案,并在网站后台程序后期维护环节中,由专业化设计人员进行全程监管,应用互联网技术,对网站系统、网页设计安全性进行精细化、全面性、动态化监管,能把安全隐患控制到最小化,最大化地提升网站系统、网页Web安全性。
此外,通过对Web安全性加固处理,虽然表面上与以往的网页设计无明显差别,但是在实际应用的过程中,却相当于设计了一个“功能健”,能对网站中所涉及到的所有程序及内容掌控,利用表单实现人机交互操作程序,用户们可根据自身需求把相关内容上传及储存到数据库中,而黑客们对用户上传与储存的信息数据无法预测,一旦有黑客攻击网站,网页设计中的防护功能就会发挥出自身作用,从而避免网站系统、网页等受到攻击。
结合上述中相关内容分析,能够了解到网站建设中网页设计安全隐患存在的影响性,还需设计者们能依据实际情况展开全面性的探究与分析,掌握网站建设中网页设计安全隐患存在的具体原因,并从根源上进行有效解决。关于网页设计安全缺陷探究,本文选择SQL注入安全缺陷、文件上传安全缺陷、登录验证安全缺陷、网站授权安全缺陷四点内容分析,以此为基础,制定完善的防护方案与措施,从而确保网站运行稳定性与安全性,为各领域创新发展提供有利条件。