網站建設中網頁設計的安全缺陷研究

張正做

浙江省食品藥品檢驗研究院 浙江 杭州 310052

隨著現代化社會快速發展，各企業和政府部門都在各方面加大投資與創新力度，網站作為對外信息發布的窗口受到越來越多的重視。當前，有許多企事業單位越來越多的在網站上開展各項工作，針對各類現代化技術應用，雖然擴大自身影響范圍，但忽視網頁設計安全性，使其設計存在安全缺陷及隱患，不但未達到預期發展要求，反而帶來一定經濟損失。對此情況，各企事業單位自身逐漸意識到網站設計防護功能重要性，把工作重心調整到網頁設計安全性提升方面，從而能滿足企業發展需求。

一、網站建設中網頁設計安全隱患

基于網頁環境條件下，新型互聯網產品及各項技術被廣泛應用，企事業單位發展方向也發生相應的改變，結合自身發展狀況，把各項工作都放在Web平臺上開展，雖然提升了各項工作質量與效率，但是也逐漸引起了黑客們的關注，導致網頁安全性受到威脅，黑客們能借助Windows系統自身漏洞或網頁服務程序中人機交互SQL注入漏洞等，獲取到網頁服務器控制權限，并開始操控網頁，隨意篡改網頁中的信息數據、相關內容等，更嚴重的是先復制網頁內部信息數據，然后對原始信息數據破壞或刪除，再注入木馬病毒或惡意代碼，使所刪除的原始數據無法恢復，導致網站崩潰、癱瘓等。

雖然設計者們對網站安全重點保護，各項技術水平顯著提升，但是黑客技術手段不斷變化，使設計者們處于被動形式下，無法準確掌握黑客們的技術手段，加大網站安全監管難度[1]。

例如:黑客們根據ASP程序自身漏洞，可攻擊網站、操控網站，雖然用戶們依然可以對此類網站正常訪問或使用，但是一旦查看網站源代碼，就會發現有一些不明含義的隱藏內容，網頁設計出現了安全缺陷，對網站安全性、穩定性等造成干擾或破壞。

二、網站建設中網頁設計的安全缺陷

(一)SQL注入安全缺陷。SQL注入，通過人機交互操作實現，那么在網站設計環節中，如果忽視對用戶輸入數據正當性考慮，就會為黑客們提供攻擊條件，借助SQL注入環節，在查詢SQL代碼時可逐步返回程序，獲取到相關信息據，會因SQL注入安全缺陷，導致網站系統及網頁受到攻擊、破壞。

(二)文件上傳安全缺陷。文件上傳安全缺陷，是指黑客們在網站上上傳了一個可執行的惡意代碼，使網站服務器被執行。如:電子郵件網站、論壇等，在網站功能設計方面具備文件、圖片、視頻等上傳功能[2]。同時，完成文件上傳操作后，相關內容會被儲存到網站服務器數據庫中。雖然為網絡用戶提供了儲存各類內容的有利條件，但是因設計者忽視網站身份過濾、排查等功能設計，使網站服務器不會對網絡用戶身份進行限制，為黑客們攻擊網站、獲取信息數據等提供條件。

例如:黑客們利用Telnet服務功能，對網站服務器中所儲存的信息數據進行復制、修改、破壞等。再上傳木馬程序、病毒等，導致網站服務受到惡意攻擊，面臨網站癱瘓等情況。

(三)登錄驗證安全缺陷。設計者對網站網頁設計，考慮到用戶們個人信息及相關內容的安全性，在用戶登錄網站時，會有一個登陸驗證的程序設計。但是因登陸驗證功能安全性較低，使黑客們在此環節中攻克登陸驗證信息，直接進入到網站網頁中，也會對網站系統造成破壞。

例如:登錄驗證頁面漏洞，大部分網站會在網站登錄頁面上要求用戶輸入用戶名、密碼，然后才可進入到相關頁面中。那么網站系統對用戶身份信息的驗證，只是單憑所輸入的用戶名與密碼，但程序設計不嚴謹，則出現登錄驗證安全缺陷，依然使網站網頁設計存在安全隱患。

(四)網站授權安全缺陷。部分設計者對網站網頁編程設計，會繁瑣地使用網絡安全配置，但卻沒有考慮到網站授權情況，使網絡服務運行環節中，存在巨大的網站授權安全缺陷[3]?；诖饲闆r下，黑客們會利用網站授權安全缺陷，輕松地入侵到網站網絡服務器中，并可以對網站服務器進行遠程操控，無法確保網站安全性，導致企業經濟利益受到嚴重的威脅。

三、網站建設中網頁設計安全缺陷解決

(一)加大SQL注入預防力度。在網站設計中，SQL是必不可少的后臺數據庫語言，通常情況下，會以一些特殊性的字符代替，如:“*”。主要目的就是能夠對相關內容進行模糊匹配，避免重要內容或信息數據直接暴露。但大部分設計者在網站設計初期，均忽視SQL語言書寫規范性，導致特殊字符應用效果不佳，出現SQL注入設計安全缺陷。對此情況，還需引起設計者們的重視，能在SQL注入方面加大預防力度，先打開配置文件中的magic_quotes_gpc、magic_quotes_runtime；再設置register_globals處于off狀態，并關閉全局變量注冊；最后，對數據庫、數據表字段重新命名，可確保SQL注入安全性。

在SQL注入過程中對數據庫、數據表字段重新命名，要考慮到名字難易程度，不易被黑客們破譯。如:姓名字段，不要以“name”字段命名。

(二)控制文件上傳安全性。結合上述內容中對文件上傳安全缺陷原因分析，了解到文件上傳安全缺陷對網站系統安全性的影響，還需設計者能在此方面加大設計力度，通過控制文件上傳安全性，避免惡意執行文件上傳到網站服務器中。第一，針對文件上傳功能設計，考慮文件類別，可設置文件目錄，并在文件目錄中分開處理可執行文件與不可執行文件。簡單的說，文件目設置，就只能對可執行文件進行存放，而不可進行其它操作[4]。第二，根據文件類型做出合理化的判斷。主要是在文件上傳環節中，把除可執行文件的內容均進行阻擋，能控制黑客們惡意文件的上傳。第三，采用隨機數修改上傳文件名字，并在文件上傳路徑上進行了多樣化的創新，從而避免在文件上傳環節中存在安全隱患。

(三)完善登錄驗證功能。完善登錄驗證功能，其一，在用戶名注冊、密碼添加環節中就對用戶身份進行了限制，如:非法用戶及非法用戶名等不準申請；其二，借助SQL特殊性語言與符號，會在用戶名及密碼登錄后進行查詢、驗證，初步完成用戶信息數據過濾工作，從根本上進行非法賬號、密碼的輸入；其三，用戶信息驗證環節中，不急于各項信息數據的匹配，而是先驗證用戶名，待用戶名驗證成功，再驗證密碼，有效確保登錄驗證安全性。

(四)加固處理Web安全性。因網頁篡改、攻擊等方式較多，為避免網頁設計存在安全缺陷，增強網站服務系統穩定性與安全性，還需在網頁設計環節中加固處理Web安全性，確保網頁 不易被修改[5]?；诖藯l件下，再搭配網頁設計、應用程序，提升網頁、網站系統防護功能性，如:Active Server Page、Hypertext Preprocessor、Java Server Pages等，應用 ASP、PHP、JSP等搭建網站后臺程序，在網站后臺程序開發階段就考慮到整體安全性，制定完善的設計方案，并在網站后臺程序后期維護環節中，由專業化設計人員進行全程監管，應用互聯網技術，對網站系統、網頁設計安全性進行精細化、全面性、動態化監管，能把安全隱患控制到最小化，最大化地提升網站系統、網頁Web安全性。

此外，通過對Web安全性加固處理，雖然表面上與以往的網頁設計無明顯差別，但是在實際應用的過程中，卻相當于設計了一個“功能健”，能對網站中所涉及到的所有程序及內容掌控，利用表單實現人機交互操作程序，用戶們可根據自身需求把相關內容上傳及儲存到數據庫中，而黑客們對用戶上傳與儲存的信息數據無法預測，一旦有黑客攻擊網站，網頁設計中的防護功能就會發揮出自身作用，從而避免網站系統、網頁等受到攻擊。

結語

結合上述中相關內容分析，能夠了解到網站建設中網頁設計安全隱患存在的影響性，還需設計者們能依據實際情況展開全面性的探究與分析，掌握網站建設中網頁設計安全隱患存在的具體原因，并從根源上進行有效解決。關于網頁設計安全缺陷探究，本文選擇SQL注入安全缺陷、文件上傳安全缺陷、登錄驗證安全缺陷、網站授權安全缺陷四點內容分析，以此為基礎，制定完善的防護方案與措施，從而確保網站運行穩定性與安全性，為各領域創新發展提供有利條件。