網站建設中網頁設計的(of)安全缺陷分析及對策

一(one)直以(by)來(Come)，網站建設中都将安全性作(do)爲(for)首要(want)考慮對象，尤其在(exist)當前互聯網經濟環境下，各類網站的(of)運營均以(by)會員制度展開，尤其是(yes)電子商務網站，除了(Got it)用(use)戶的(of)個(indivual)人(people)隐私之外，還包括重要(want)的(of)金融信息，很容易被不(No)法分子所觊觎。針對網站的(of)非法行爲(for)主要(want)是(yes)利用(use)技術手段找到(arrive)破綻，從而達到(arrive)非法獲利的(of)目的(of)，因此對廣大(big)網站運營主體而言，在(exist)網站建設前、中、後期都要(want)做好全面的(of)安全防護工作(do)；相對而言，網頁設計中存在(exist)的(of)安全缺陷較多，如權限級别過高、數據庫漏洞等，所以(by)應該将其視爲(for)網站安全防護的(of)重點。

1、網站建設中網頁安全的(of)重要(want)性

狹義上(superior)說，網站是(yes)由不(No)同功能界面的(of)網頁構成的(of)，網頁的(of)形式總體上(superior)分爲(for)靜态和(and)動态兩種。靜态網頁是(yes)網站技術早期的(of)一(one)種形式，通過浏覽器可以(by)訪問預先設計好的(of)網頁格式，但靜态網頁中的(of)所有元素都是(yes)固定的(of)，如圖片、文字、視頻等，修改工作(do)也基于(At)人(people)工操作(do)完成，信息不(No)會因爲(for)用(use)戶的(of)操作(do)而發生(born)變化，嚴格意義上(superior)說，靜态網頁除了(Got it)IP之外不(No)存在(exist)其他(he)“入口”。然而，靜态網頁顯然不(No)符合網站建設的(of)發展趨勢，随着用(use)于(At)規模擴大(big)、信息容量增加，網站逐漸采取了(Got it)動态技術，如PHP、ASP、C++等，其優勢在(exist)于(At)網頁内容可根據用(use)戶操作(do)發生(born)相應的(of)變化，反饋用(use)戶所需要(want)的(of)信息，換而言之，基于(At)服務器中斷的(of)網頁設計中包含了(Got it)大(big)量腳本語言，利用(use)程式化優勢來(Come)提高網站資源的(of)統籌和(and)管理效率，而“網頁”變成一(one)種臨時(hour)性的(of)調用(use)元素“集合”，當用(use)戶需要(want)某一(one)網頁形式時(hour)，腳本語言直接從數據庫中調取相應的(of)元素，如用(use)戶登錄網頁和(and)注冊網頁中存在(exist)的(of)“驗證碼”部分，事實上(superior)屬于(At)同一(one)種驗證機制。理論上(superior)說，任何一(one)種系統都存在(exist)漏洞，以(by)技術實現的(of)網站系統更是(yes)如此，在(exist)動态網頁驅使下産生(born)的(of)安全缺陷更多，具有高超計算機程度能力的(of)黑客隻需要(want)簡單的(of)步驟就可以(by)找到(arrive)“突破口”。

2、網站建設中網頁設計的(of)安全缺陷分析

目前在(exist)國(country)内網站技術背景下，常見的(of)網頁設計安全缺陷主要(want)有以(by)下幾種表現。

2.1 驗證安全缺陷

驗證安全缺陷是(yes)目前國(country)内網站中爲(for)常見的(of)一(one)種，尤其是(yes)在(exist)大(big)量自主開發網站中，其源程序和(and)代碼均來(Come)源于(At)網絡，難免存在(exist)一(one)些設計缺陷。驗證機制早是(yes)針對惡意注冊、網絡攻擊而開發的(of)，早出(out)現與一(one)些公衆交流平台，如論壇、貼吧、聊天室等，由于(At)它可以(by)很好地(land)保護網絡的(of)通暢性，因此迅速的(of)在(exist)廣大(big)網站中流行開來(Come)。但是(yes)，登錄驗證機制隻是(yes)網站安全的(of)“低門檻”，雖然通過提高驗證複雜性來(Come)規避惡意注冊，卻不(No)能将其視爲(for)保護網站安全的(of)唯一(one)途徑。事實上(superior)，驗證機制由于(At)和(and)服務器、數據庫之間的(of)密切聯系，很可能成爲(for)一(one)個(indivual)被刻意攻擊的(of)對象，而對于(At)網站程序員而言，很少會刻意強化一(one)個(indivual)本質上(superior)屬于(At)“安全機制”的(of)組件，一(one)旦登錄驗證被攻破，網站的(of)整個(indivual)安全性也就随之降低。

2.2 地(land)址安全缺陷

通過SQL注入的(of)方法可以(by)欺騙服務器，找出(out)網站數據庫存在(exist)的(of)安全漏洞，從而進行非法活動，尤其在(exist)以(by)WEB表單遞交查詢關鍵字的(of)網站系統中，黑客可以(by)繞過敏感網頁的(of)權限直接進入後台頁面，這(this)一(one)缺陷在(exist)國(country)内大(big)量成品網站中十分突出(out)，如事業單位、企業單位、個(indivual)人(people)網站中，長期忽視安全級别更新，不(No)法分子在(exist)得知某一(one)個(indivual)網頁的(of)文件名、路徑、元素之後，能夠繞過登錄、注冊和(and)驗證機制。

2.3 防護安全缺陷

病毒和(and)木馬是(yes)人(people)爲(for)制造出(out)來(Come)的(of)計算機惡性應用(use)程序（或代碼），也是(yes)針對網站展開攻擊頻率高的(of)一(one)種形式，不(No)法分子隻需要(want)制造并傳播病毒、木馬即可，而不(No)需要(want)親自操作(do)。以(by)計算機網絡病毒爲(for)例，一(one)旦被激活之後就會迅速感染計算機文件，并通過正常的(of)網站操作(do)進入網站系統，從而對整個(indivual)網站的(of)安全産生(born)威脅。事實上(superior)，網站空間中的(of)病毒也常常僞裝爲(for)網頁文件（如.ASP/.PHP等）、圖片、壓縮文檔等形式，讓人(people)真假難辨，且十分頑固、難以(by)清除。

3、網頁設計的(of)安全缺陷防治對策

結合現狀來(Come)說，網站建設技術已經相對穩定，在(exist)安全防護機制上(superior)重點突出(out)硬件的(of)特征，但網頁作(do)爲(for)一(one)個(indivual)基本因素也不(No)可掉以(by)輕心，這(this)是(yes)因爲(for)網頁設計的(of)安全缺陷不(No)僅僅是(yes)技術方面造成的(of)，還與設計人(people)員自身的(of)安全意識相關。在(exist)網站建設技術日益成熟、防範殺毒系統（包括硬件）功能不(No)斷增強的(of)前提下，人(people)爲(for)因素導緻的(of)安全缺陷開始增加，由于(At)設計人(people)員缺乏足夠的(of)安全意識，在(exist)網頁設計過程中會忽略大(big)量的(of)安全要(want)素。

第一(one)，加強網站源代碼的(of)保護力度。在(exist)網絡資源免費共享的(of)誘惑下，大(big)量開源網站代碼被植入到(arrive)網站設計中，一(one)些設計人(people)員爲(for)了(Got it)節省開發成本，對于(At)安全級别較高的(of)網頁缺乏審查，增加了(Got it)後門和(and)漏洞的(of)風險。因此，在(exist)網站運行前和(and)運行中都應該不(No)斷進行網頁安全級别測試，及時(hour)法相存在(exist)的(of)問題。

第二，提高驗證機制的(of)安全性水平。目前，驗證機制不(No)僅僅被用(use)于(At)注冊、登陸，包括下載、修改、删除等操作(do)也大(big)量存在(exist)，客觀上(superior)爲(for)網站入侵提供了(Got it)更多的(of)渠道。對于(At)涉及驗證機制的(of)網頁或組件應該提升安全級别，如設計二次登陸或加密算法。

第三，重視文件上(superior)傳内容的(of)健康性。爲(for)了(Got it)吸引用(use)戶，一(one)些網站提供了(Got it)大(big)量的(of)免費空間服務，這(this)也是(yes)一(one)個(indivual)典型的(of)安全漏洞，特别是(yes)在(exist)局域網絡中，如公司内部網、校園網、網絡硬盤等空間中，一(one)些被巧妙僞裝的(of)病毒、木馬也可以(by)上(superior)傳成功，從而産生(born)嚴重的(of)安全問題；因此，在(exist)提供免費空間服務的(of)網頁界面中，要(want)提高對上(superior)傳者的(of)身份驗證、權限驗證和(and)内容審查力度，加強文件信息和(and)數據過濾的(of)強度。