摘要：網(wǎng)頁(yè)設(shè)計(jì)工作，作為網(wǎng)站建設(shè)中的重要內(nèi)容，在網(wǎng)站建設(shè)過(guò)程中起到了非常重要的作用。網(wǎng)頁(yè)設(shè)計(jì)強(qiáng)調(diào)精確化和嚴(yán)格化，如果網(wǎng)頁(yè)設(shè)計(jì)不合理，技術(shù)缺陷等問(wèn)題的發(fā)生，都將會(huì)導(dǎo)致網(wǎng)頁(yè)設(shè)計(jì)出現(xiàn)安全缺陷，從而給企業(yè)帶來(lái)非常大的影響。本文就網(wǎng)站建設(shè)中網(wǎng)頁(yè)設(shè)計(jì)的安全缺陷展開(kāi)分析和論述，指出了常見(jiàn)的網(wǎng)頁(yè)設(shè)計(jì)缺陷，并提出了有效的解決對(duì)策。

關(guān)鍵詞：網(wǎng)站建設(shè)；網(wǎng)頁(yè)設(shè)計(jì)；安全缺陷；對(duì)策

中圖分類(lèi)號(hào)：TP393.092 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-9599 （2012） 15-0000-02

隨著我國(guó)科學(xué)技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)技術(shù)的快速更新和完善，促進(jìn)了我國(guó)電子商務(wù)技術(shù)的發(fā)展，目前，電子商務(wù)技術(shù)應(yīng)該成為企業(yè)經(jīng)濟(jì)進(jìn)步的重要手段。商務(wù)網(wǎng)站，是電子商務(wù)的主要應(yīng)用途徑，以網(wǎng)頁(yè)的形式展示企業(yè)的形象和產(chǎn)品，從而幫助用戶(hù)對(duì)企業(yè)做以全方位的了解，促進(jìn)貿(mào)易合作的達(dá)成，可見(jiàn)，網(wǎng)站建設(shè)的好壞，將直接影響到企業(yè)的經(jīng)濟(jì)效益。網(wǎng)頁(yè)設(shè)計(jì)作為網(wǎng)站建設(shè)的關(guān)鍵工作，目前越來(lái)越受到企業(yè)的重視，如果網(wǎng)頁(yè)設(shè)計(jì)工作出現(xiàn)問(wèn)題，將會(huì)導(dǎo)致企業(yè)網(wǎng)站的運(yùn)行問(wèn)題，從而為企業(yè)帶來(lái)巨大損失。

1 網(wǎng)頁(yè)設(shè)計(jì)中安全缺陷的形成原因

網(wǎng)站，是用戶(hù)同企業(yè)之間的一種重要交流方法，網(wǎng)站為用戶(hù)提供了全面的企業(yè)信息，幫助用戶(hù)了解企業(yè)產(chǎn)品和企業(yè)形象，從而促進(jìn)用戶(hù)與企業(yè)交易活動(dòng)的達(dá)成，可以說(shuō)，網(wǎng)站是電子商務(wù)的重要表現(xiàn)途徑，是企業(yè)的重要資產(chǎn)，也是現(xiàn)代企業(yè)發(fā)展必不可少的重要手段。網(wǎng)頁(yè)設(shè)計(jì)，就是對(duì)企業(yè)網(wǎng)站各項(xiàng)內(nèi)容的建設(shè)，網(wǎng)頁(yè)設(shè)計(jì)的好壞，直接影響到網(wǎng)站的實(shí)際作用效果。隨著科學(xué)技術(shù)的不斷發(fā)展，大量先進(jìn)設(shè)計(jì)軟件的應(yīng)用，很大程度上實(shí)現(xiàn)了網(wǎng)頁(yè)設(shè)計(jì)的快速化和高效化，為網(wǎng)站開(kāi)發(fā)人員的工作提供了強(qiáng)有力的支持。

在網(wǎng)站設(shè)計(jì)過(guò)程中，腳本語(yǔ)言編程技術(shù)可以更好的管理網(wǎng)站資源，實(shí)現(xiàn)網(wǎng)站同用戶(hù)之間的交流和溝通，便于用戶(hù)了解企業(yè)動(dòng)向、企業(yè)產(chǎn)品、參與企業(yè)的論壇交流、在線調(diào)查以及貿(mào)易合作等等，為網(wǎng)站功能的實(shí)現(xiàn)提供了可靠的保障，為企業(yè)的發(fā)展提供了持久的動(dòng)力。但是，由于網(wǎng)站依靠腳本語(yǔ)言編程技術(shù)實(shí)現(xiàn)了用戶(hù)同企業(yè)信息的交互，腳本語(yǔ)言編程出現(xiàn)問(wèn)題，則造成嚴(yán)重的安全缺陷，給企業(yè)網(wǎng)站和內(nèi)部信息帶來(lái)非常大的風(fēng)險(xiǎn)。由于用戶(hù)輸入信息不同于企業(yè)信息，用戶(hù)的輸入信息存在非常大的不可控性，如果網(wǎng)站開(kāi)發(fā)人員沒(méi)有對(duì)用戶(hù)信息進(jìn)行充分的考慮和詳細(xì)的分析，將會(huì)導(dǎo)致用戶(hù)輸入內(nèi)容成為一種攻擊企業(yè)網(wǎng)站的危險(xiǎn)工具，從而影響到網(wǎng)站的正常運(yùn)行，形成攻擊時(shí)間。網(wǎng)頁(yè)腳本語(yǔ)言編程直接同企業(yè)網(wǎng)絡(luò)服務(wù)器相連接，同網(wǎng)站的數(shù)據(jù)庫(kù)、網(wǎng)站設(shè)置都有著密切的聯(lián)系，如果玩站程序設(shè)計(jì)存在缺陷，就會(huì)使得網(wǎng)站整體存在缺陷，一旦出現(xiàn)攻擊事件，就會(huì)給企業(yè)網(wǎng)頁(yè)帶來(lái)非常大的影響，最終導(dǎo)致網(wǎng)絡(luò)癱瘓和信息竊取等問(wèn)題的發(fā)生，給企業(yè)帶來(lái)非常大的損失。

2 常見(jiàn)網(wǎng)頁(yè)設(shè)計(jì)安全缺陷及相關(guān)解決對(duì)策

網(wǎng)頁(yè)設(shè)計(jì)中的安全缺陷，將會(huì)給企業(yè)網(wǎng)站的穩(wěn)定性造成非常嚴(yán)重的影響，使得網(wǎng)站的安全性能大大降低，增加企業(yè)的網(wǎng)絡(luò)運(yùn)行風(fēng)險(xiǎn)，制約著企業(yè)電子商務(wù)技術(shù)的發(fā)展。網(wǎng)頁(yè)設(shè)計(jì)中的安全缺陷主要包括登陸驗(yàn)證缺陷、逃避驗(yàn)證安全缺陷、桌面數(shù)據(jù)庫(kù)安全缺陷、源代碼安全缺陷、文件上傳安全缺陷等問(wèn)題，在實(shí)際網(wǎng)頁(yè)設(shè)計(jì)過(guò)程中，我們應(yīng)該重視對(duì)相關(guān)問(wèn)題的解決和控制，避免安全事件的發(fā)生，確保企業(yè)網(wǎng)站運(yùn)行的穩(wěn)定性，促進(jìn)企業(yè)電子商務(wù)活動(dòng)的正常開(kāi)展。

2.1 登陸驗(yàn)證安全缺陷

用戶(hù)登陸是用戶(hù)網(wǎng)站活動(dòng)中必不可少的行為和工作，用戶(hù)名的建立和登陸，便于企業(yè)對(duì)用戶(hù)信息的管理和掌握，便于企業(yè)相關(guān)工作活動(dòng)的開(kāi)展，而對(duì)于用戶(hù)來(lái)說(shuō)，登陸名的建立能夠更好的維護(hù)個(gè)人利益，避免相關(guān)隱私信息的泄露。用戶(hù)登陸過(guò)程中，需要對(duì)用戶(hù)信息進(jìn)行驗(yàn)證和確認(rèn)，因此，登陸驗(yàn)證程序，是網(wǎng)站運(yùn)行程序中的重要部分，是網(wǎng)站的一道安全關(guān)口。目前，許多網(wǎng)站開(kāi)發(fā)人員都會(huì)忽略用戶(hù)登陸驗(yàn)證環(huán)節(jié)，沒(méi)有充分考慮登陸驗(yàn)證的重要性和關(guān)鍵性，沒(méi)有采取有效手段來(lái)加強(qiáng)登陸驗(yàn)證程序的穩(wěn)定性，致使部分人員乘虛而入，對(duì)網(wǎng)站安全造成嚴(yán)重的影響，帶來(lái)巨大的經(jīng)濟(jì)損失。目前，許多網(wǎng)站都會(huì)存在登陸驗(yàn)證安全缺陷，這一問(wèn)題的原因主要由于網(wǎng)站開(kāi)發(fā)人員沒(méi)有全面分析驗(yàn)證程序風(fēng)險(xiǎn)，使得驗(yàn)證程序不嚴(yán)謹(jǐn)，造成腳本語(yǔ)言編寫(xiě)程序在對(duì)用戶(hù)賬號(hào)密碼進(jìn)行驗(yàn)證工作時(shí)出現(xiàn)問(wèn)題。

比如，網(wǎng)站開(kāi)發(fā)人員在實(shí)現(xiàn)用戶(hù)名登陸和驗(yàn)證工作時(shí)，往往需要在數(shù)據(jù)庫(kù)中的user數(shù)據(jù)表內(nèi)進(jìn)行相關(guān)程序的編寫(xiě)，以u(píng)sername和password分別表示用戶(hù)登錄時(shí)所輸入的賬號(hào)名稱(chēng)和登陸密碼。當(dāng)用戶(hù)在進(jìn)行相關(guān)信息的錄入時(shí)，如果用戶(hù)所輸入的參數(shù)能夠在數(shù)據(jù)表內(nèi)搜尋到，則證明用戶(hù)信息屬實(shí)，用戶(hù)登陸合法，允許用戶(hù)各項(xiàng)功能的使用，法制，則證明用戶(hù)信息的不合法，從而不允許其對(duì)網(wǎng)站信息的訪問(wèn)。判斷用戶(hù)信息合法性的主要依靠SQL查詢(xún)語(yǔ)句進(jìn)行，如果網(wǎng)站某一用戶(hù)賬號(hào)為Admin，用戶(hù)密碼為為a' or 'a'='a，則依靠SQL查詢(xún)語(yǔ)言所獲取的反饋內(nèi)容則為變更為SQL=“select * from username where username=’a’ and password=’a’ or ’a’=’a’”，使得查詢(xún)結(jié)果同實(shí)際信息存在非常大的區(qū)別，從而使得用戶(hù)登陸驗(yàn)證失去有效性，使得任意存在用戶(hù)名都可以進(jìn)行網(wǎng)站的訪問(wèn)，從而給網(wǎng)站運(yùn)行帶來(lái)非常大的影響。

針對(duì)于這一問(wèn)題，具體的解決方法有：設(shè)定注冊(cè)限制，避免非法賬戶(hù)密碼的申請(qǐng)，從而有效避免相關(guān)問(wèn)題的發(fā)生；其次，在進(jìn)行SQL登陸查詢(xún)時(shí)，先對(duì)用戶(hù)信息進(jìn)行過(guò)濾，防止非法賬號(hào)密碼的應(yīng)用；最后，在進(jìn)行用戶(hù)驗(yàn)證時(shí)，先對(duì)用戶(hù)名進(jìn)行驗(yàn)證，待用戶(hù)名屬實(shí)后，再進(jìn)行密碼的驗(yàn)證工作。

2.2 逃避驗(yàn)證安全缺陷

所謂逃避驗(yàn)證安全缺陷，就是部分用戶(hù)在進(jìn)行網(wǎng)站瀏覽的過(guò)程中，由于掌握了設(shè)計(jì)界面的路徑或文件名，且這一界面不存在用戶(hù)登陸限制，從而使得用戶(hù)能夠直接通過(guò)輸入設(shè)計(jì)頁(yè)面的文件名，而逃避用戶(hù)登陸環(huán)節(jié)，進(jìn)入頁(yè)面并實(shí)現(xiàn)對(duì)網(wǎng)站信息的閱讀和內(nèi)容的訪問(wèn)。為防止逃避驗(yàn)證安全缺陷的發(fā)生，網(wǎng)站開(kāi)發(fā)人員進(jìn)行加強(qiáng)對(duì)網(wǎng)頁(yè)信息的保密工作，避免相關(guān)數(shù)據(jù)的泄露。同時(shí)，網(wǎng)頁(yè)設(shè)計(jì)人員應(yīng)該加強(qiáng)對(duì)網(wǎng)站相關(guān)重要頁(yè)面進(jìn)行身份驗(yàn)證限制，使得用戶(hù)無(wú)法避免身份驗(yàn)證工作，提高網(wǎng)站各站點(diǎn)的安全系數(shù)。

2.3 桌面數(shù)據(jù)庫(kù)安全缺陷

桌面數(shù)據(jù)庫(kù)安全缺陷主要發(fā)生于ASP+ Access應(yīng)用系統(tǒng)中，一般來(lái)說(shuō)，網(wǎng)站都會(huì)為用戶(hù)提供部分信息的下載功能，但是，如果用戶(hù)獲得Access數(shù)據(jù)庫(kù)的存儲(chǔ)路徑和數(shù)據(jù)庫(kù)名，就能夠?qū)?shù)據(jù)庫(kù)中的其他信息下載到用戶(hù)本地電腦，從而導(dǎo)致網(wǎng)站相關(guān)數(shù)據(jù)的流失。因此，在實(shí)際網(wǎng)站開(kāi)發(fā)過(guò)程中，ASP程序應(yīng)該盡量使用ODBC數(shù)據(jù)源，這樣能夠有效避免數(shù)據(jù)庫(kù)名稱(chēng)被直接寫(xiě)入運(yùn)行程序，從而有效提升了數(shù)據(jù)庫(kù)信息的安全性能，避免ASP數(shù)據(jù)庫(kù)內(nèi)相關(guān)資料的流失和竊取，確保良好的網(wǎng)站運(yùn)行環(huán)境。

2.4 源代碼泄露缺陷

為避免網(wǎng)站源代碼的泄露和竊取，在實(shí)際網(wǎng)站設(shè)計(jì)過(guò)程中，可以對(duì)網(wǎng)站頁(yè)面代碼進(jìn)行加密處理，從而提升網(wǎng)站的整體安全性能。一般來(lái)說(shuō)，進(jìn)行ASP頁(yè)面加密的方法主要有兩種，第一種是將變成邏輯語(yǔ)言通過(guò)組件技術(shù)將其封裝入DLL文件中，以避免信息的丟失；第二種方法則是依靠微軟Script Encoder對(duì)ASP頁(yè)面進(jìn)行加密。DLL封裝方法是一種較為傳統(tǒng)的代碼加密方法，操作比較繁瑣，工作量較大，隨著Script Encoder的逐漸推廣，DLL封裝方法逐漸被淘汰，目前，多是應(yīng)用Script Encoder實(shí)現(xiàn)對(duì)代碼的加密，從而提高網(wǎng)站的安全性能。

2.5 文件上傳缺陷

對(duì)于社區(qū)網(wǎng)站以及交友網(wǎng)站等，多具有文件上傳功能，以促進(jìn)用戶(hù)間的交流和溝通，是網(wǎng)絡(luò)生活的重要做成部分。文件上傳缺陷，就是指用戶(hù)在進(jìn)行文件上傳時(shí)，設(shè)計(jì)者沒(méi)有充分對(duì)用戶(hù)上傳信息參數(shù)進(jìn)行分析和限制，從而導(dǎo)致惡意文件的穿上，對(duì)網(wǎng)站數(shù)據(jù)庫(kù)造成破壞。為解決文件上傳缺陷，應(yīng)該在網(wǎng)站系統(tǒng)中添加判斷程序，在獲取用戶(hù)文件上傳請(qǐng)求后，對(duì)文件進(jìn)行判斷，確保文件信息的可信任度，避免非法軟件對(duì)網(wǎng)站系統(tǒng)的破壞。

3 總束結(jié)

網(wǎng)站建設(shè)對(duì)于企業(yè)的發(fā)展具有非常重要的意義，實(shí)現(xiàn)網(wǎng)站建設(shè)的重要手段則是網(wǎng)頁(yè)設(shè)計(jì)技術(shù)，因此，在進(jìn)行網(wǎng)站建設(shè)時(shí)，一定要加強(qiáng)對(duì)網(wǎng)站缺陷和危險(xiǎn)因素進(jìn)行充分考慮，加強(qiáng)網(wǎng)站安全維護(hù)程序，加強(qiáng)對(duì)上傳信息的分析和處理，從而確保網(wǎng)站的運(yùn)行效果，提高網(wǎng)站的安全性能，促進(jìn)我國(guó)電子商務(wù)技術(shù)的快速發(fā)展。

參考文獻(xiàn)：

[1]王志業(yè).動(dòng)態(tài)網(wǎng)頁(yè)設(shè)計(jì)技術(shù)的安全漏洞及解決辦法[J].安徽科技，2009（10）

[2]龔靜，曾莉.淺談網(wǎng)絡(luò)攻擊與防范策略[J].安慶師范學(xué)院學(xué)報(bào)（自然科學(xué)版），2010（03）

[3]唐洪英，付國(guó)瑜.IP源地址偽造問(wèn)題研究[J].重慶工學(xué)院學(xué)報(bào)，2008（11）

[4]劉霞.淺析ARP協(xié)議工作原理[J].出國(guó)與就業(yè)（就業(yè)版），2011（08）