哈爾濱工業(yè)大學(xué)交通學(xué)院 屈子傲

前言

隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大化及電子商務(wù)的發(fā)展，促使企業(yè)注重其內(nèi)部商務(wù)網(wǎng)站的建立，在構(gòu)建網(wǎng)站系統(tǒng)時(shí)，需要加大對(duì)安全問(wèn)題的重視，以便確保企業(yè)經(jīng)濟(jì)活動(dòng)在安全的網(wǎng)絡(luò)環(huán)境下進(jìn)行。雖然入侵檢測(cè)、防火墻等安全防護(hù)技術(shù)已經(jīng)被大量應(yīng)用在網(wǎng)站建設(shè)中，但是由于動(dòng)態(tài)網(wǎng)頁(yè)設(shè)計(jì)的復(fù)雜性，可能導(dǎo)致網(wǎng)頁(yè)設(shè)計(jì)過(guò)程中存在較多程序漏洞，從而不利于網(wǎng)站正常運(yùn)營(yíng)，因此，有必要加大對(duì)網(wǎng)業(yè)設(shè)計(jì)技術(shù)安全隱患解決措施的研究。

1.動(dòng)態(tài)網(wǎng)頁(yè)設(shè)計(jì)安全漏洞的形成

在進(jìn)行動(dòng)態(tài)網(wǎng)頁(yè)設(shè)計(jì)時(shí)，通常會(huì)運(yùn)用到PHP、ASP或JSP等語(yǔ)言，在這些腳本語(yǔ)言作用下，能為動(dòng)態(tài)網(wǎng)頁(yè)設(shè)計(jì)提供應(yīng)用性較強(qiáng)的設(shè)計(jì)工具，并能起到簡(jiǎn)化程序開(kāi)發(fā)流程的作用。在實(shí)際設(shè)計(jì)中，應(yīng)用上述腳本語(yǔ)言進(jìn)行程序編程能提高網(wǎng)站管理水平，加強(qiáng)瀏覽界面與用戶間的交互作用[1]。例如，企業(yè)在建立網(wǎng)站系統(tǒng)時(shí)，將在其中設(shè)置產(chǎn)品管理系統(tǒng)、信息發(fā)布系統(tǒng)、論壇交流系統(tǒng)等多個(gè)功能模塊。這些功能模塊的共同點(diǎn)在用戶將大量信息導(dǎo)入系統(tǒng)中，以便借助系統(tǒng)信息傳播作用，使得用戶與用戶間、用戶與網(wǎng)站管理者間能進(jìn)行實(shí)時(shí)溝通互動(dòng)，確保在信息有效共享的條件下，為用戶提供針對(duì)性服務(wù)。但是由于網(wǎng)站的交互特點(diǎn)，將導(dǎo)致系統(tǒng)可能存在安全漏洞，由于用戶數(shù)據(jù)信息是不可預(yù)測(cè)的，如果程序不能對(duì)相關(guān)信息作出適當(dāng)反應(yīng)，則用戶輸入信息可能對(duì)網(wǎng)站安全性造成危害。為了解決上述問(wèn)題，要求網(wǎng)頁(yè)設(shè)計(jì)人員能從保障網(wǎng)站信息安全性這一角度出發(fā)，以便取得較好的動(dòng)態(tài)網(wǎng)頁(yè)設(shè)計(jì)效果。

2.動(dòng)態(tài)網(wǎng)頁(yè)設(shè)計(jì)安全漏洞的分類

網(wǎng)頁(yè)設(shè)計(jì)安全漏洞通常包括登陸驗(yàn)證界面漏洞和直接進(jìn)入界面漏洞等。當(dāng)網(wǎng)頁(yè)設(shè)計(jì)人員在登錄界面設(shè)計(jì)時(shí)，忽視對(duì)系統(tǒng)安全性的保護(hù)，在實(shí)際設(shè)計(jì)階段沒(méi)有做到對(duì)登錄界面的嚴(yán)格限制，將對(duì)系統(tǒng)安全性造成不利影響。而從直接進(jìn)入界面這一漏洞角度出發(fā)，部分界面可直接根據(jù)數(shù)據(jù)庫(kù)中已有信息登錄系統(tǒng)中，部分界面的登錄不需要用戶輸入賬號(hào)密碼，是網(wǎng)頁(yè)設(shè)計(jì)漏洞的體現(xiàn)。

3.動(dòng)態(tài)網(wǎng)頁(yè)設(shè)計(jì)安全漏洞及解決對(duì)策

3.1 登陸驗(yàn)證漏洞

登陸驗(yàn)證是各類網(wǎng)站系統(tǒng)應(yīng)具備的基礎(chǔ)功能之一，如聊天室、網(wǎng)上影院以及論壇等網(wǎng)站，由于這些網(wǎng)站具有交互性特點(diǎn)，因此在用戶進(jìn)入網(wǎng)站前，需要進(jìn)行登陸驗(yàn)證?？梢哉f(shuō)登陸驗(yàn)證環(huán)節(jié)是網(wǎng)站系統(tǒng)的主要構(gòu)成部分，同時(shí)是保障網(wǎng)站安全運(yùn)營(yíng)的重要關(guān)口。為了做到對(duì)網(wǎng)站信息的保護(hù)，需要充分發(fā)揮登陸驗(yàn)證的安全防護(hù)作用。但是部分網(wǎng)頁(yè)設(shè)計(jì)者容易忽視這一設(shè)計(jì)環(huán)節(jié)，在驗(yàn)證程序關(guān)口上的處理還有所不足，這就將導(dǎo)致非法用戶入侵到網(wǎng)站中，將對(duì)網(wǎng)站用戶帶來(lái)經(jīng)濟(jì)損失。造成登陸驗(yàn)證存在漏洞的原因主要為，大部分網(wǎng)站在進(jìn)行登陸驗(yàn)證相關(guān)程序的編寫時(shí)，在驗(yàn)證賬號(hào)身份程序方面不夠嚴(yán)謹(jǐn)。例如，在進(jìn)行網(wǎng)站會(huì)員區(qū)程序設(shè)計(jì)時(shí)，一般將用戶賬號(hào)和密碼儲(chǔ)存在一個(gè)獨(dú)立的數(shù)據(jù)庫(kù)中，并利用相應(yīng)字段來(lái)表達(dá)用戶賬戶名稱和密碼。在登錄驗(yàn)證過(guò)程中，將檢查用戶導(dǎo)入的相關(guān)參數(shù)是否與數(shù)據(jù)庫(kù)中信息相一致，如果信息一致，則說(shuō)明用戶合法。對(duì)于登陸驗(yàn)證界面設(shè)計(jì)來(lái)講，如果驗(yàn)證代碼編寫不當(dāng)，將產(chǎn)生安全漏洞[2]。

為了解決這個(gè)安全漏洞問(wèn)題，要求設(shè)計(jì)者在進(jìn)行各網(wǎng)站交互性動(dòng)態(tài)網(wǎng)頁(yè)設(shè)計(jì)時(shí)，應(yīng)確保用戶登錄系統(tǒng)時(shí)的有關(guān)驗(yàn)證工作能合理開(kāi)展，使得登陸驗(yàn)證程序在進(jìn)行SQL查詢后，能對(duì)用戶身份加以驗(yàn)證，或者在用戶進(jìn)入系統(tǒng)對(duì)登陸賬號(hào)進(jìn)行嚴(yán)格審查，從而增強(qiáng)登錄信息的安全性，是解決登陸驗(yàn)證安全缺陷的有效途徑。另外，對(duì)于一些敏感網(wǎng)頁(yè)來(lái)講，當(dāng)用戶需要登陸瀏覽這類網(wǎng)頁(yè)時(shí)，系統(tǒng)可要求用戶進(jìn)行二次登錄驗(yàn)證，這一功能可通過(guò)網(wǎng)頁(yè)設(shè)計(jì)來(lái)實(shí)現(xiàn)，進(jìn)一步加大網(wǎng)頁(yè)安全性。

3.2 文件上傳安全性漏洞

大部分網(wǎng)站包括郵件服務(wù)系統(tǒng)、論壇等都能實(shí)現(xiàn)文件上傳這一功能，但是設(shè)計(jì)者在進(jìn)行用戶上傳參數(shù)設(shè)計(jì)方面缺少有效過(guò)濾，將造成遠(yuǎn)程違法分子利用設(shè)計(jì)漏洞向網(wǎng)站傳輸惡意文件，將對(duì)數(shù)據(jù)庫(kù)造成嚴(yán)重危害。例如，iXmail中的腳本語(yǔ)言在對(duì)用戶上傳的文件缺乏信息過(guò)濾環(huán)節(jié)，將為攻擊者創(chuàng)造上傳惡意文件的機(jī)會(huì)，對(duì)服務(wù)器正常運(yùn)作有不利影響。例如，設(shè)計(jì)者在進(jìn)行文件上傳有關(guān)網(wǎng)頁(yè)的設(shè)計(jì)時(shí)，會(huì)選擇將系統(tǒng)內(nèi)文件儲(chǔ)存在/tmp目錄中，這種情況下，同戶可針對(duì)文件信息進(jìn)行遠(yuǎn)程訪問(wèn)，但是同樣使得攻擊者能借助Web登錄權(quán)限在網(wǎng)站內(nèi)部執(zhí)行任意指令，是網(wǎng)頁(yè)設(shè)計(jì)存在安全缺陷的主要原因。為了解決這一問(wèn)題，在進(jìn)行文件上傳功能界面設(shè)計(jì)時(shí)，應(yīng)能在文件上傳前，設(shè)計(jì)文件類型識(shí)別模塊，使得用戶能通過(guò)界面提示進(jìn)行相關(guān)操作，能在該模塊作用下完成文件信息過(guò)濾過(guò)程。

例如，在用戶上傳圖片類型的文件時(shí)，則系統(tǒng)規(guī)定只有GIF、JPG等格式的文件能上傳，可有效限制惡意文件進(jìn)入系統(tǒng)中。具體來(lái)說(shuō)，文件上傳功能是大多數(shù)網(wǎng)站重點(diǎn)設(shè)計(jì)功能之一，能為用戶進(jìn)行文件傳輸及儲(chǔ)存等操作提供實(shí)施途徑，并且部分郵箱和論壇等網(wǎng)站具有圖片共享功能，以便滿足用戶需求。而對(duì)于用戶量較大的網(wǎng)站來(lái)講，用戶在文件共享過(guò)程中可能夾帶病毒文件，如果在網(wǎng)站設(shè)計(jì)階段不能對(duì)這一問(wèn)題加以防范，則會(huì)對(duì)網(wǎng)站安全性造成威脅。因此，要求網(wǎng)頁(yè)設(shè)計(jì)者注重在文件數(shù)據(jù)過(guò)濾功能上的設(shè)計(jì)，從而去除病毒文件，為用戶提供良好的網(wǎng)頁(yè)瀏覽環(huán)境。

3.3 桌面數(shù)據(jù)庫(kù)安全漏洞

在網(wǎng)站應(yīng)用系統(tǒng)中，如果用戶獲取某一數(shù)據(jù)庫(kù)的數(shù)據(jù)庫(kù)名及儲(chǔ)存路徑，則能將這一數(shù)據(jù)庫(kù)下載至本地。以網(wǎng)上圖書館為例，這類網(wǎng)站對(duì)應(yīng)的數(shù)據(jù)庫(kù)，通常將其命名成iLbrayr.mdb等，儲(chǔ)存路徑一般選擇放在根目錄下，在掌握上述信息后，可將圖書館網(wǎng)站的數(shù)據(jù)庫(kù)下載到本地中[3]。由于部分?jǐn)?shù)據(jù)庫(kù)的名稱及儲(chǔ)存路徑容易被他人掌握，這就將對(duì)數(shù)據(jù)庫(kù)安全帶來(lái)不利影響，無(wú)法實(shí)現(xiàn)數(shù)據(jù)庫(kù)信息的安全。當(dāng)存在數(shù)據(jù)庫(kù)安全漏洞時(shí)，將造成網(wǎng)站數(shù)據(jù)流失，因此，要求設(shè)計(jì)人員在網(wǎng)站開(kāi)發(fā)階段，能采取適當(dāng)?shù)陌踩雷o(hù)措施。如采用ASP程序來(lái)盡可能減少ODBC數(shù)據(jù)的運(yùn)用，利用上述做法能有效避免數(shù)據(jù)庫(kù)名稱存在運(yùn)行程序中，從而提高數(shù)據(jù)庫(kù)安全性，保證其中數(shù)據(jù)信息不會(huì)被惡意破壞。

3.4 逃避驗(yàn)證漏洞

在進(jìn)行動(dòng)態(tài)網(wǎng)頁(yè)設(shè)計(jì)技術(shù)安全漏洞分析時(shí)，還應(yīng)注意到逃避驗(yàn)漏洞對(duì)網(wǎng)站信息安全造成的不良影響，并能通過(guò)采取相應(yīng)的解決措施，來(lái)做到對(duì)安全問(wèn)題的有效防范。逃避驗(yàn)證漏洞指的是存在部分用戶在瀏覽網(wǎng)頁(yè)過(guò)程中，已經(jīng)對(duì)網(wǎng)站登錄驗(yàn)證程序的文件名及界面信息等有所了解，這種情況下，登錄界面無(wú)法發(fā)揮其驗(yàn)證用戶身份的作用，用戶能在不登錄系統(tǒng)的情況下進(jìn)入網(wǎng)站，并通過(guò)界面操作來(lái)查詢和利用網(wǎng)站內(nèi)信息。上述網(wǎng)頁(yè)設(shè)計(jì)安全漏洞現(xiàn)象主要是由于網(wǎng)頁(yè)設(shè)計(jì)不嚴(yán)謹(jǐn)造成的，為了解決這一問(wèn)題，需要設(shè)計(jì)人員在進(jìn)行登陸網(wǎng)頁(yè)界面設(shè)計(jì)時(shí)，增加身份限制這一功能，使得用戶只能通過(guò)賬號(hào)登錄進(jìn)行系統(tǒng)，能極大程度增強(qiáng)網(wǎng)站安全性。

3.5 源代碼安全漏洞

源代碼安全同樣是進(jìn)行動(dòng)態(tài)網(wǎng)頁(yè)設(shè)計(jì)時(shí)需要注重的問(wèn)題，為了加大對(duì)源代碼安全性的保護(hù)，在實(shí)際設(shè)計(jì)過(guò)程中，通常采取在網(wǎng)頁(yè)代碼上增設(shè)加密程序的設(shè)計(jì)方法，在加密技術(shù)作用下，能有效增強(qiáng)網(wǎng)站系統(tǒng)內(nèi)部信息的安全。在源代碼安全漏洞問(wèn)題解決對(duì)策的選擇上，一般采用以下兩種方法：一是利用DLL文件作用，將邏輯語(yǔ)言進(jìn)行封裝處理，以免由于信息被竊取而造成嚴(yán)重的網(wǎng)絡(luò)安全問(wèn)題；二是在微軟Script Encoder作用下，做到對(duì)頁(yè)面的加密處理。上述做法主要目的在于加大對(duì)系統(tǒng)源代碼的保護(hù)，是較為常見(jiàn)的網(wǎng)頁(yè)設(shè)計(jì)安全漏洞解決措施，其中DLL文件能通過(guò)封裝語(yǔ)言信息來(lái)對(duì)系統(tǒng)進(jìn)行保護(hù)，有利于提高網(wǎng)站系統(tǒng)的安全系數(shù)，是動(dòng)態(tài)網(wǎng)頁(yè)設(shè)計(jì)主要目標(biāo)。

4.結(jié)論

綜上所述，在信息化時(shí)代下，計(jì)算機(jī)技術(shù)取得了創(chuàng)新發(fā)展，在網(wǎng)絡(luò)技術(shù)不斷普及的情況下，對(duì)網(wǎng)站建立嚴(yán)謹(jǐn)性提出了更高要求。在進(jìn)行動(dòng)態(tài)網(wǎng)頁(yè)設(shè)計(jì)過(guò)程中，通常需要運(yùn)用到多種程序設(shè)計(jì)方法，在程序交錯(cuò)作用下，容易造成系統(tǒng)產(chǎn)生漏洞問(wèn)題。為了加強(qiáng)網(wǎng)站信息安全性，需要完善動(dòng)態(tài)網(wǎng)頁(yè)設(shè)計(jì)，并能在有效規(guī)避網(wǎng)頁(yè)安全漏洞的基礎(chǔ)上，確保網(wǎng)站性能的有效發(fā)揮，為用戶提供安全的信息查詢環(huán)境，是提高動(dòng)態(tài)網(wǎng)頁(yè)設(shè)計(jì)質(zhì)量的關(guān)鍵。