网页安全论文精品(七篇)
网页安全论文篇(1)
随着现代高速发展的网络技术和不断兴起的电子商务,针对计算机网络的攻击不断出现,设计人员在进行网页设计时必须充分考虑网络安全的问题。当一个网站建立之后,相应的配套程序有很多,由于网页设计的独特性,所以,程序的漏洞会不断的增加,这样就给网站带来了一定的安全隐患。
2网页设计安全漏洞
网页设计中常用的服务器端网页设计技术包括ASP、PHP或JSP等脚本语言,这些网页技术为网站的技术开发人员提供了便利。在网页的开发设计中,设计人员使用上面的脚本语言可以高效的管理现有的网站资源,加强了浏览者和网站的交互。在交互之间,漏洞就在慢慢的形成,这主要是因为浏览者在输入信息时的不可确定性,如果程序考虑的不周全,用户输入的信息就有可能成为对网页的攻击,无论这些信息是否是有意的还是无意的。网页的编程与服务器直接打交道,它和系统的相关设置、网站数据库设置等有关,若程序设计之中存在漏洞,那么也称之为网站漏洞。
3网页设计中存在的漏洞
3.1在登陆验证中存在的漏洞像人们常常使用的论坛、会员区、聊天室等带有交互性的网站,登陆验证是必须完成的部分,虽然登陆验证只是整个网站运行中的一小部分,但却是整个网站的安全之口。网络设计者在设计时很容易疏忽这个关口的设计,安全关口的验证程序如果没有设计好,就会让别人有空可钻,从而造成不必要的损失。很多网站在设计安全关口中都存在登陆验证的漏洞,设计人员在设计时编程的不严谨造成了这个漏洞。
3.2直接进入页面而绕过验证的漏洞在许多的敏感页面中,用户必须进行身份验证,但是这个页面无需对用户的身份验证,一旦用户在知道相关的网页设计页面的文件名和路径时,用户就会直接绕过登陆的界面,进入设计页面。在这样的状况下,网站的设计人员必须对相关的页面进行身份的验证,设计相应的身份验证程序,来达到网站页面的安全可靠程度。3.3网站病毒的广泛传播计算机中存在的病毒是人们故意设计制造的计算机应用程序,它的特点就是感染性和自制性,在日益扩大的网络规模下,计算机的病毒的种类和数量也在不断的增加,这样也对计算机的的安全造成了很大的威胁。如果网站的终端服务器被计算机病毒传染,就会破坏网站信息的可靠安全性,甚至影响了整个网站的正常运行。
3.4一些网站的非受权在网站的建设中,程序设计人员往往会采用较为复杂的安全配置,这样就会在网络服务的应用中存在非常巨大的安全缺陷,因而给远程的黑客有了可乘之机,侵入到网络服务器的内部,给网站的安全带来了巨大的危害,网络系统中的应用软件的缺陷、密码过于简单等等的系统漏洞,都会让黑客非常容易的侵入。
4解决网站安全隐患的方法
4.1充分考虑网站登陆验证的安全性在相关的论坛和聊天室中,验证身份在登陆时是必要的一步。所以,网站设计人员可以使得程序在生成SQL查询语句之前,验证用户的用户名和密码,或者是设计人员要求用户在进入网页时先对其用户名进行查询再验证密码。而在进入比较敏感的页面时,设计人员可以设计相应的程序要求用户再一次进行身份的验证,这样就增加了网页的安全可靠性。
4.2充分考虑源代码的泄漏程序设计人员对网页的代码加密后可以有效的减少网站源代码泄漏的机会,设计人员可以利用组件技术将编程逻辑密封在ADLL中,或者是对ASP进行加密,这其中利用的是微软的Script Encoder,这个方法有操作性强、编辑性强等优点,这样就可以降低源代码泄漏的机率。
4.3充分考虑文件在上传时的安全性许多的网站具有文件上传、图片上传等多种功能,比如一些论坛、邮箱系统、校园网这些用户量很大的网站,但是这样的网站,程序设计人员在设计时没有对用户提交的数据和参数进行充分的过滤,导致了黑客能够对其进行远距离的攻击,从而造成了相关数据库的破坏。所以,设计人员在用户上传图片文件之前,可以插入文件类型模式的模块,对用户上传的文件格式进行筛选,这样就可以将一些可能带来病毒的文件筛选出去,提高了用户使用网页的安全性。
网页安全论文篇(2)
关键词:网址,加密,网络安全,活动服务器页面,服务器端网页设计
0引言 随着网络技术和网络规模的不断发展以及电子商务的兴起,许多企业都建立了自己的商务网站,针对网络和计算机系统的攻击已经屡见不鲜,在构建网站的时候,都会考虑网络安全问题,对于网络安全的投入较大,如使用防火墙、入侵检测、企业防病毒等安全产品,但网站还是有被攻击,甚至完全被控制的可能。因为企业的网站一般都采用ASP、PHP或JSP等脚本语言来连接数据库,取得数据库里面的数据生成动态网页。当一个网站完全建立后,程序会很多,特别是网页设计的特殊性,服务器与用户的交互程序更多,所以,程序的漏洞也会增多,给网站带来不可估量的安全隐患,这些程序漏洞比网站服务器的漏洞更为严重 [1][2][3] 。
1网页设计安全漏洞的形成ASP、PHP或JSP等脚本语言作为典型的服务器端网页设计技术,为网站开发人员提供了简单高效的动态Web应用程序开发方法。在网站设计时,使用上述脚本语言编程可以更好地管理网站资源,增加网站与浏览者之间的交互,如新闻系统、产品管理系统、会员管理系统、论坛反馈系统、在线调查系统、在线订单系统和留言板系统等,其共同点是用户输入很多资料,与其他浏览者交流或者与网站管理者交流。。而交互正是漏洞形成的一大原因,因为用户输入信息不可预测,如果程序没有考虑或者考虑不全面,用户输入就有可能成为攻击事件,且不管有意还是无意。网页编程直接和服务器打交道,与网站目录、网站数据库设置、系统设置相关,通过这些程序访问网站目录、设置等所有服务器内容,若程序设计有漏洞,即网站有漏洞。
2网页设计的安全漏洞及对策2.1登陆验证漏洞凡带有交互性的网站,包括论坛、聊天室、信息网会员区、网上影院等,登陆验证是必不可少的组成部分。。虽然登陆的验证程序只是网站整体的一部分,但却是网站的安全关口。网站设计者容易疏忽这一点,没有处理好口令验证程序的关口,以至他人趁虚而进,甚至造成重大影响与经济损失。许多网站都存在一个登陆验证的漏洞,而这个漏洞是在编写程序验证账号密码时由于程序不严谨而造成。。如在设计网站会员区时,都会将账号、密码放在一个叫“User”的数据表中,并设置“username”和“password”两个字段分别表示用户的登录名称和登录密码。当验证时,检查用户输入的两个参数是否存在于这个数据表,如果存在,证明这个用户合法;不存在,证明用户不合法,而漏洞就出现在这段验证代码上。
在登陆验证(以asp为例)中常会用SQL查询语句来判断该用户是否为站点的合法会员。
<!--连接数据库-->
<!--#include file=dbconn.asp -->
<%
Dim rs
Set rs=CreateObject(“Adodb.Recordset”) ‘定义一个Ado数据集实例
rs.source='select * from user whereusername=’” & username & “’and password=’” & password & “’”
‘连接登陆验证语句字串
rs.open rs.sourc,conn,1,1 ‘执行查询语句
...
%>
当根据以上的SQL语句构造一组特殊的用户名和密码,例如用户名为该网站任意一个存在的用户名Admin,密码为a' or 'a'='a,则程序中SQL变量的值将会变成sql=“select* from username where username=’a’ and password=’a’ or ’a’=’a’” 显然,该查询语句的逻辑原意已被彻底改变,一个逻辑运算符or使用整个逻辑条件为真,即这条SQL口令验证语句已经失去了效用,只要知道了任意一个存在的用户名就可以成功地进入到敏感区域。
解决漏洞的方案如下:
1) 生成SQL查询语句之前,对用户输入的参数(用户名和密码)进行过滤;
2)先查询用户名再进行密码验证。
2.2绕过验证直接进入设计页面漏洞每个敏感的页面必须进行身份验证,如果用户知道了一个设计页面(如用ASP)的路径和文件名,而这个页面又没有验证的程序,则用户可直接输入这个设计页面的文件名,即绕过了登陆验证,直接进入了指定的页面。。网站设计者除了登陆验证外还必须在有关页面进行身份验证,才能提高站点的安全指数。。
2.3桌面数据库被下载漏洞在ASP+Access应用系统中,如果获得Access数据库的存储路径和数据库名,则该数据库可以被下载到本地。。如对于网上图书馆的Access数据库,一般命名为Library.mdb等,而存储的路径一般为“URL/database”或放在根目录(“URL/”)下。这样,只要在浏览器地址栏中输入地址 “URL/database/Library.mdb”,就可以轻易地把Library.mdb下载到本地的机器中。
在ASP程序设计中,应尽量使用ODBC数据源,不直把数据库名直接写在程序中,否则数据库名将随ASP源代码的失密而一同失密,例如:
DBPath = Server.MapPath(“./akkjj16t/kjhgb661/acd/avccx55/faq19jhsvzbal.mdb ”)
conn.Open “driver={Microsoft Access Driver (*.mdb)};dbq=” & DBPath
可见,ASP源代码失密后,数据库也很容易被下载。如果使用ODBC数据源,则不会存在 conn.open
“ODBC-DSN名”。2.4 源代码泄露漏洞为有效防止源代码泄露,可以对页面代码进行加密。
一般有以下两种方法对ASP页面进行加密:
1) 使用组件技术将编程逻辑封装入DLL中;
2) 使用微软的Script Encoder对ASP页面进行加密。
使用组件技术存在的主要问题是每段代码均需组件化,操作比较烦琐,工作量较大,而使用Script Encoder对ASP页面进行加密,操作简单、收效良好。Script Encoder方法具有以下优点:
1)HTML具有很好的可编辑性,Script Encoder只加密在HTML页面中嵌入的ASP
代码,其他部分仍保持不变,故仍可以使用FrontPage或Dreamweaver等常用网页编辑工具对HTML部分进行修改、完善,但不能对ASP加密部分进行修改,否则将导致文件失效;
2) 作较简单,只要掌握几个命令行参数即可,Script Encoder的运行程序是
screnc.exe,其使用方法如下:screnc [/s] [/f] [/xl] [/l defLanguage ] [/e:defExtension] inputfileoutputfile,其中 s为屏蔽屏幕输出;f为指定输出文件是否覆盖同名输入文件;xl指是否在.asp文件的顶部添加@Language指令;l为defLanguag指定缺省的脚本语言;e为defExtension 指定待加密文件的扩展名;
3) 用Script Encoder可以对当前目录中所有的ASP文件进行加密,并把加密
后的文件统一输出到相应的目录中,例如:screnc *.asp c: emp;
4) cript Encoder是免费软件,该加密软件可以从微软网站
msdn.microsoft.com/scripting/vbscript/download/x86/sce10en.exe下载,下载后,运行安装即可,利用Session对象进行注册验证。
2.4文件上传漏洞许多网站如论坛、同学录、邮件服务系统都提供了文件上传的功能,但设计者在设计用户提交参数缺少充分过滤,以至远程攻击者利用这个漏洞可以上传恶意文件,甚至造成系统数据库破坏或以Web权限在系统上执行任意命令。例如iXmail包含的“ixmail_attach.php”脚本对用户提交的附件缺少充分过滤,攻击者可以通过操作URL参数上传恶意文件(如php文件)到服务器上,虽然文件放置在Web目录下的/tmp目录中,但可以远程访问,因此攻击者可能以Web进程权限在系统上执行任意命令,故在文件上传之前,加入文件类型判断模块,并进行过滤。如要求用户上传图片时,对上传的文件格式进行判断,如果是指定的图片文件格式(如JPG、GIF)允许上传,其他格式诸如*.EXE,*.PHP,*.ASP,*.JSP等可执行或可解释的程序文件就禁止上传。
3 结论本文介绍了网站建设中网页设计容易出现的漏洞和解决方法,安全概念要贯穿在整个网页设计过程中,只有随时考虑安全的问题,网站才会有更强的安全性。
参考文献[1] 希利尔 S著. Active Server Pages编程指南[M]. 董启雄译. 北京: 宇航出版社, 1998.
[2] 沈文智. Microsoft IIS 网页技术[M]. 北京: 人民邮电出版社,1998.
[3] 张小斌, 严望佳. 黑客分析与防范技术[M].北京: 清华大学出版社, 1999
网页安全论文篇(3)
论文摘要:网络上的动态网站以ASP为多数,我们学校的网站也是ASP的。笔者作为学校网站的制作和维护人员,与ASP攻击的各种现象斗争了多次,也对网站进行了一次次的修补,根据工作经验,就ASP网站设计常见安全漏洞及其防范进行一些探讨。本文结合 ASP 动态网站开发经验,对ASP 程序设计存在的信息安全隐患进行分析,讨论了ASP 程序常见的安全漏洞,从程序设计角度对 WEB信息安全及防范提供了参考。
1网络安全总体状况分析
2007年1月至6月期间,半年时间内,CNCERT/CC接收的网络仿冒事件和网页恶意代码事件,已分别超出去年全年总数的14.6%和12.5%。
从CNCERT/CC掌握的半年情况来看,攻击者的攻击目标明确,针对不同网站和用户采用不同的攻击手段,且攻击行为趋利化特点表现明显。对政府类和安全管理相关类网站主要采用篡改网页的攻击形式,也不排除放置恶意代码的可能。对中小企业,尤其是以网络为核心业务的企业,采用有组织的分布式拒绝服务攻击(DDoS)等手段进行勒索,影响企业正常业务的开展。对于个人用户,攻击者更多的是通过用户身份窃取等手段,偷取该用户游戏账号、银行账号、密码等,窃取用户的私有财产。
2 用IIS+ASP建网站的安全性分析
微软推出的IIS+ASP的解决方案作为一种典型的服务器端网页设计技术,被广泛应用在网上银行、电子商务、网上调查、网上查询、BBS、搜索引擎等各种互联网应用中。但是,该解决方案在为我们带来便捷的同时,也带来了严峻的安全问题。本文从 ASP 程序设计角度对 WEB 信息安全及防范进行分析讨论。
3 SP安全漏洞和防范
3.1 程序设计与脚本信息泄漏隐患
bak 文件。攻击原理:在有些编辑ASP程序的工具中,当创建或者修改一个ASP文件时,编辑器自动创建一个备份文件,如果你没有删除这个bak文件,攻击者可以直接下载,这样源程序就会被下载。
防范技巧:上传程序之前要仔细检查,删除不必要的文档。对以BAK为后缀的文件要特别小心。
inc文件泄露问题。攻击原理:当存在ASP的主页正在制作且没有进行最后调试完成以前,可以被某些搜索引擎机动追加为搜索对象。如果这时候有人利用搜索引擎对这些网页进行查找,会得到有关文件的定位,并能在浏览器中查看到数据库地点和结构的细节,并以此揭示完整的源代码。
防范技巧:程序员应该在网页前对它进行彻底的调试。首先对.inc文件内容进行加密,其次也可以使用.asp文件代替.inc文件,使用户无法从浏览器直接观看文件的源代码。
3.2 对ASP页面进行加密。为有效地防止ASP源代码泄露,可以对ASP页面进行加密。我们曾采用两种方法对ASP页面进行加密。一是使用组件技术将编程逻辑封装入 DLL之中;二是使用微软的Script Encoder对ASP页面进行加密。
3.3 程序设计与验证不全漏洞
验证码。普遍的客户端交互如留言本、会员注册等仅是按照要求输入内容,但网上有很多攻击软件,如注册机,可以通过浏览WEB,扫描表单,然后在系统上频繁注册,频繁发送不良信息,造成不良的影响,或者通过软件不断的尝试,盗取你的密码。而我们使用通过使用验证码技术,使客户端输入的信息都必须经过验证,从而可以解决这个问题。
登陆验证。对于很多网页,特别是网站后台管理部分,是要求有相应权限的用户才能进入操作的。但是,如果这些页面没有对用户身份进行验证,黑客就可以直接在地址栏输入收集到的相应的 URL 路径,避开用户登录验证页面,从而获得合法用户的权限。所以,登陆验证是非常必要的。
SQL 注入。SQL注入是从正常的WWW端口访问,而且表面看起来跟一般的Web页面访问没什么区别,所以目前市面的防火墙都不会对SQL注入发出警报,如果管理员没查看IIS日志的习惯,可能被入侵很长时间都不会发觉。
SQL 注入攻击是最为常见的程序漏洞攻击方式,引起攻击的根本原因就是盲目信任用户,将用户输入用来直接构造 SQL 语句或存储过程的参数。以下列出三种攻击的形式:
A.用户登录: 假设登录页面有两个文本框,分别用来供用户输入帐号和 密码,利用执行SQL 语句来判断用户是否为合法用户。试想,如果黑客在密码文本框中输入 'OR 0=0,即不管前面输入的用户帐号和密码是什么,OR后面的 0=0 总是成立的,最后结果就是该黑客成为了合法的用户。
B.用户输入:假设网页中有个搜索功能,只要用户输入搜索关键字,系统就列出符合条件的所有记录,可是,如果黑客在关键字文本框中输入' GO DROP TABLE 用户表,后果是用户表被彻底删除。
C.参数传递: 假设我们有个网页链接地址是 HTTP://……asp?id=22, 然后 ASP在页面中利用 Request.QueryString['id']取得该 id值,构成某 SQL 语句, 这种情况很常见。可是,如果黑客将地址变为HTTP://……asp?id=22 and user=0 ,结果会怎样?如果程序员有没有对系统的出错提示进行屏蔽处理的话,黑客就获得了数据库的用户名,这为他们的进一步攻击提供了很好的条件。
解决方法:以上几个例子只是为了起到抛砖引玉的作用,其实,黑客利用“猜测+精通的sql 语言+反复尝试”的方式,可以构造出各种各样的sql入侵。作为程序员,如何来防御或者降低受攻击的几率呢?作者在实际中是按以下方法做的:
第一: 在用户输入页面加以友好备注,告知用户只能输入哪些字符;
第二: 在客户端利用 ASP 自带的校验控件和正则表达式对用户输入进行校验,发现非法字符,提示用户且终止程序进行;
第三: 为了防止黑客避开客户端校验直接进入后台,在后台程序中利用一个公用函数再次对用户输入进行检查,一旦发现可疑输入,立即终止程序,但不进行提示,同时,将黑客IP、动作、日期等信息保存到日志数据表中以备核查。
第四: 对于参数的情况,页面利用 QueryString 或者 Quest 取得参数后, 要对每个参数进行判断处理,发现异常字符, 要利用 replace 函数将异常字符过滤掉,然后再做下一步操作。
转贴于
第五:只给出一种错误提示信息,服务器都只提示HTTP 500错误。
第六:在IIS中为每个网站设置好执行权限。千万别给静态网站以“脚本和可执行”权限。一般情况下给个“纯脚本”权限就够了,对于那些通过网站后台管理中心上传的文件存放的目录,就更吝啬一点吧,执行权限设为“无”好了。
第七:数据库用户的权限配置。对于MS_SQL,如果PUBLIC权限足够使用的绝不给再高的权限,千万不要SA级别的权限随随便便地给。
3.4 传漏洞
诸如论坛,同学录等网站系统都提供了文件上传功能,但在网页设计时如果缺少对用户提交参数的过滤,将使得攻击者可以上传网页木马等恶意文件,导致攻击事件的发生。
防文件上传漏洞
在文件上传之前,加入文件类型判断模块,进行过滤,防止ASP、ASA、CER等类型的文件上传。
暴库。暴库,就是通过一些技术手段或者程序漏洞得到数据库的地址,并将数据非法下载到本地。
数据库可能被下载。在IIS+ASP网站中,如果有人通过各种方法获得或者猜到数据库的存储路径和文件名,则该数据库就可以被下载到本地。
数据库可能被解密
由于Access数据库的加密机制比较简单,即使设置了密码,解密也很容易。因此,只要数据库被下载,其信息就没有任何安全性可言了。
防止数据库被下载 。由于Access数据库加密机制过于简单,有效地防止数据库被下载,就成了提高ASP+Access解决方案安全性的重中之重。以下两种方法简单、有效。
非常规命名法。为Access数据库文件起一个复杂的非常规名字,并把它放在几个目录下。
使用ODBC数据源。在ASP程序设计中,如果有条件,应尽量使用ODBC数据源,不要把数据库名写在程序中,否则,数据库名将随ASP源代码的失密而一同失密。
使用密码加密。经过MD5加密,再结合生成图片验证码技术,暴力破解的难度会大大增强。
使用数据备份。当网站被黑客攻击或者其它原因丢失了数据,可以将备份的数据恢复到原始的数据,保证了网站在一些人为的、自然的不可避免的条件下的相对安全性。
3.5 SP木马
由于ASP它本身是服务器提供的一项服务功能,所以这种ASP脚本的木马后门,不会被杀毒软件查杀。被黑客们称为“永远不会被查杀的后门”。我在这里讲讲如何有效的发现web空间中的asp木马并清除。
技巧1:杀毒软件查杀
一些非常有名的asp木马已经被杀毒软件列入了黑名单,所以利用杀毒软件对web空间中的文件进行扫描,可以有效的发现并清除这些有名的asp木马。
技巧2:FTP客户端对比
asp木马若进行伪装,加密,躲藏杀毒软件,怎么办?
我们可以利用一些FTP客户端软件(例如cuteftp,FlashFXP)提供的文件对比功能,通过对比FTP的中的web文件和本地的备份文件,发现是否多出可疑文件。
技巧3:用Beyond Compare 2进行对比
渗透性asp木马,可以将代码插入到指定web文件中,平常情况下不会显示,只有使用触发语句才能打开asp木马,其隐蔽性非常高。 Beyond Compare 2这时候就会作用比较明显了。
技巧4:利用组件性能找asp木马
如:思易asp木马追捕。
大家在查找web空间的asp木马时,最好几种方法结合起来,这样就能有效的查杀被隐藏起来的asp木马。
结束语
总结了ASP木马防范的十大原则供大家参考:
建议用户通过FTP来上传、维护网页,尽量不安装asp的上传程序。
对asp上传程序的调用一定要进行身份认证,并只允许信任的人使用上传程序。
asp程序管理员的用户名和密码要有一定复杂性,不能过于简单,还要注意定期更换。
到正规网站下载asp程序,下载后要对其数据库名称和存放路径进行修改,数据库文件名称也要有一定复杂性。
要尽量保持程序是最新版本。
不要在网页上加注后台管理程序登陆页面的链接。
为防止程序有未知漏洞,可以在维护后删除后台管理程序的登陆页面,下次维护时再通过上传即可。
要时常备份数据库等重要文件。
日常要多维护,并注意空间中是否有来历不明的asp文件。
一旦发现被人侵,除非自己能识别出所有木马文件,否则要删除所有文件。重新上传文件前,所有asp程序用户名和密码都要重置,并要重新修改程序数据库名称和存放路径以及后台管理程序的路径。
做好以上防范措施,您的网站只能说是相对安全了,决不能因此疏忽大意,因为入侵与反入侵是一场永恒的战争!网站安全是一个较为复杂的问题,严格的说,没有绝对安全的网络系统,我们只有通过不断的改进程序,将各种可能出现的问题考虑周全,对潜在的异常情况进行处理,才能减少被黑客入侵的机会。
参考文献
[1]袁志芳 田晓芳 李桂宝《ASP程序设计与 WEB信息安全》 中国教育信息化2007年21期.
网页安全论文篇(4)
[关键词] 网站 安全 脚本 数据库 交互
一、引言
Internet已渗透到了社会的各个领域,不仅影响着我们的学习和工作,在Internet的发展中,WWW的发明和迅速推广应用是一个重要的里程碑。网页设计作为一门新兴的技术,是介于平面设计、编程技术两者之间的一门学科,它还涉及到美学心理、平面构成、色彩搭配等平面设计方面的知识。只有综合运用多种知识,才能设计出视听特效、动静结合、人机交互的WEB页面。
电子商务网站是一个非常丰富和方便的系统,很多是过去无法想像的,随着今天的社会的发展以及科学技术的发展,现在都可以想像得到。由此可以想像到未来的网页设计,那时候网页设计的要求是什么呢?怎样才能适应电子商务的发展呢?我有以下几点想法:网页能具有人性化;网页要具有相当的美感;网页更加强调交互性。
二、电子商务网站的安全现状
电子商务网站安全主要涉及网络信息的安全和网络系统本身的安全。电子商务网站安全的隐患主要来自操作系统、网络和数据库的脆弱性以及安全管理上的疏忽。电子商务网站安全从本质上讲就是网络上信息的安全,包括静态信息的存储安全和信息的传输安全。从广义上讲,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。因此为了保证网络的安全,必须保证以下四个方面的安全: 运行系统的安全;
网络上系统信息的安全; 网络上信息传播安全; 网络上信息内容的安全。
以下是对目前国内电子商务站点普遍存在的几个严重的安全问题的一些分析。
1.客户端数据的完整性和有效性检查
(1)特殊字符的过滤
在 W3C 的 WWW Security FAQ 中关于CGI安全编程一节里列出了建议过滤的字符:&;“”\“|*?-<>^()[]{}\n\r,这些字符由于在不同的系统或运行环境中会具有特殊意义,如变量定义/赋值/取值、非显示字符、运行外部程序等,而被列为危险字符。
①CGI和Script编程语言的问题
在几种国内常见的WEB编程语言中,ASP和Cold Fusion 脚本语言对特殊字符的过滤机制不够完善,例如没有对单引号做任何处理等。Perl和php对特殊字符的过滤则较为严密,如忽略或加上“\”(取消特殊字符含义)处理。C语言编写的cgi程序对特殊字符的过滤完全依赖于程序员的知识和技术,因此也可能存在安全问题。
②Microsoft ASP脚本
普遍存在的问题是程序员在编写ASP脚本时,缺少或没有对客户端输入的数据/变量进行严格的合法性分析。因此,如果攻击者输入某些特定sql语句,可能造成数据库资料丢失/泄漏/甚至威胁整个站点的安全。比如攻击者可以任意创建或者删除表(如果可以猜测出已存在的表名),清除或者更改数据库数据。攻击者也可能通过执行一些储存过程函数,将sql语句的输出结果通过电子邮件发送给自己,或者执行系统命令。
③PHP和Perl
虽然提供了加上”\”(取消特殊字符含义)处理的手段,但是处理一些数据库时依然可以被改写。对于MySQL则没有问题,\’不会与前面的单引号封闭,而当作一个合法的字符处理。针对oracle和informix等数据库暂时未进行相关测试。
另外,对于PHP或者Perl语言,很多程序对于数字类型的输入变量,没有加单引号予以保护,攻击者就有可能在这种变量中加入额外的SQL语句,来攻击数据库或者获得非法控制权限。
(2)数据库问题
不同的数据库对安全机制的不同认识和实现方法,使它们的安全性也有所不同。最常见的问题是利用数据库对某些字符的不正确解释,改写被执行的SQL语句,从而非法获得访问权限。
2.大量数据查询导致拒绝服务
许多网站对用户输入内容的判断在前台,用JavaScript判断,如果用户绕过前台判断,就能对数据库进行全查询,如果数据库比较庞大,会耗费大量系统资源,如果同时进行大量的这种查询操作,就会有Denial of Service(DoS ―― 拒绝服务)同样的效果。
三、措施与解决方案
通过查阅一些资料,下面介绍一些网页制作中安全防范的方法,以供大家参考。
1.防范脚本攻击
(1)JS脚本和HTML脚本攻击的防范其实很简单,只要用server.HTMLEncode(Str)就可以了。当然全以<%=uid%>过滤,为了方便的过滤,只需要将HTML脚本和JS脚本中的几个关键字符过滤掉就可以了,如下代码所示:
以下是过滤函数CHK()
<%
function CHK(fqyString)
fqyString = replace(fqyString, “>”, “>”)
fqyString = replace(fqyString, “<”, ”<“)
fqyString = replace(fqyString, “&#”, “&”)
fqyString = Replace(fqyString, CHR(32), “ ”)
fqyString = Replace(fqyString, CHR(9), “ ”)
fqyString = Replace(fqyString, CHR(34), “”“)
fqyString = Replace(fqyString, CHR(39), ”‘“)
fqyString = Replace(fqyString, CHR(13), ”“)
fqyString = Replace(fqyString, CHR(10) & CHR(10), ”</P><P> “)
fqyString = Replace(fqyString, CHR(10), ”<BR> “)
CHK = fqyString
end function
%>
(2)很多站点在用户注册,或者是用户资料修改的页面上也缺少脚本的过滤,或者是只在其中之一进行过滤,注册进入后修改资料仍然可以进行脚本攻击。对用户提交的数据进行检测和过滤如以下代码:
If Instr(request(”username“),”=“)>0 or
Instr(request(”username“),”%“)>0 or
Instr(request(”username“),chr(32))>0 or
Instr(request(”username“),”?“)>0 or
……
Instr(request(”username“),”>“)>0 or
Instr(request(”username“),”<“)>0 or
Instr(request(”username“),”“”“)>0 then
response.write ”朋友,你的提交用户名含有非法字符,请更改,谢谢合作 <a href=’****:window.history.go(-1);‘>返回</a>“
response.end
end if
2.防范sql injeciton攻击
从最一般的.SQL Injection 漏洞攻击来看,主要在用户名和密码上的过滤问题,提交:用户名为:‘or’‘=’ 用户密码为:‘or’‘=’从程序出发,数据库在执行以下操作Sql=“ SELECT * FROM lUsers WHERE Username=”or“=” and Password = “or”=“”时,SQL 服务器将返回lUsers表格中的所有记录,而ASP脚本将会因此而误认为攻击者的输入符 lUsers表格中的第一条记录,从而允许攻击者以该用户的名义登入网站。对此类注入的防范可以利用以下代码就可以实现strUsername = Replace(Request.Form(“Username”), “‘’”, “‘’‘”)
strPassword = Replace(Request.Form(“Password”), “’‘”, “’‘’‘”)
3.防止ASP木马
防止ASP木马被上传到服务器的方法很简单,如果你的论坛支持文件上传,请设定好你要上传的文件格式,我不赞成使用可更改的文件格式,直接从程序上锁定,只有图象文件格式和压缩文件就完全可以,因为多给自己留点方便也就多给攻击者留点方便。怎么判断格式,如下面代码所示:
判断文件类型是否合格
Private Function CheckFileExt (fileEXT)
dim Forumupload
Forumupload=”gif,jpg,bmp,jpeg“
Forumupload=split(Forumupload,”,“)
for i=0 to ubound(Forumupload)
if lcase(fileEXT)=lcase(trim(Forumupload(i))) then
CheckFileExt=true
exit Function
else
CheckFileExt=false
end if
next
End Function
上述介绍的一些安全防范的方法在编写网页代码时被常用到,这些代码还是较为基本的一些代码,但能有效的防止一些黑客的攻击,当然加入了这些代码可能会降低程序的使用效率。做为一名网站的管理人员或网页制作人员在进行网页制作和网站维护时应加强安全防范的意识,确保在网络上进行数据传输的可靠性。
总之,随着网页制作的技术不断的发展和提高,对电子商务的发展有着不可估量的推进作用,对于网站的安全防范已经成为目前发展电子商务最需考虑的一个问题之一,在开发网站中应注意在网络安全方面的考虑。目前如JSP、ASP、PHP、XML等一些网站新技术融入网页制作中,进一步提高了网页的性能。随着新的技术的推出,我相信网页制作的发展会把我们带入一崭新的信息世界。
网页安全论文篇(5)
Wikispaces概述
Wikispaces是一个协作性的网站(网址是省略/),提供无限量的使用者和页面以及可视化的页面编辑工具。
因其简单易用性,在美国中小学、高校和企业界得到了广泛的应用。Wikispaces主要面向商业机构、非营利性组织、中小学和高校,目前拥有500多万名会员和197万Wiki。
Wikispaces具有以下特点:
注册会员可以自己制作网页,并支持信息、文件和图片的上传,音频和视频,协作讨论,以建立自己的网络空间。
管理者可以自定义页面主题和颜色,并拥有强大的数据统计功能。
Wikispaces开发了四种版本的Wiki,分别是基本版、增强版、高级版和私人版。基本版完全免费,后三种都是需要付费的版本。基本版为Wiki提供了公共和受保护的两种权限模式,基本版的一个缺点是页面的右边会有Google公司的广告。增强版可以自己建立一个免费的广告页面,也可以自己设定页面主题,而且所有有关Wiki页面内容的信息都运用SSL加密机制。高级版比增强版拥有更多的功能,上传文件的最大值是50M,可以把Wiki地址设置在自己的域名里或Web服务器上,还提供了网络文件夹的功能,通过网络文件夹可以更方便地访问自己的文件或网页。私人版能够完全管理自己的Wiki环境,可以创建无限量的Wiki和使用者账户,对自己的站点拥有完全的管理权限。私人版适用于想对自己的Wiki环境进行完全控制的组织,如高校或企业。
Wikispaces定义了四种类型的使用角色,分别是管理者、成员、使用者和访问者。管理者拥有最高的权限,可以邀请成员加入自己的Wiki,批准想加入自己Wiki的申请,可以删除页面、更新或删除Wiki,也可以决定某个Wiki是公共、受保护还是私人的。成员可以浏览和编辑Wiki,可以向Wiki上上传图片或文件,也可以决定更改该Wiki为公共、受保护或私人三种权限中的任意一种,成员也可以被管理者提升为管理伙伴或从管理伙伴降级为成员。使用者可以浏览具有公共权限和受保护权限的Wiki,在公共Wiki上创建讨论页面。访问者可以浏览公共权限和受保护权限的Wiki,可以编辑公共Wiki但不能够创建任何新的页面,也不能够在讨论页面留言。
Wikispaces功能介绍
1.创建Wiki页面
在Wikispaces的首页注册登录后,系统提示新建Wiki,点击Create a New Wiki(新建Wiki)后,进入新建Wiki的页面。在填写Wiki名称、选择Wiki权限和Wiki类型后,点击Create(创建),就新建了一个Wiki(笔者在Wiki名称栏填写了yellowleaves,Wiki权限栏选择了Protected――受保护的一种模式,Wiki类型选择了K-12――中小学教育具有一定的免费优惠)。页面创建好后系统会弹出Home(首页)帮助页面,其对如何编辑首页进行了详细的说明。点击各个条目,就会链接到详细的说明页面。若不小心关掉了帮助说明页面,可以单击右上角的Help(帮助)按钮,使该页面重新显示出来。
关掉首页帮助页面,单击右上角的Edit(编辑)按钮,就进入了首页的编辑状态。编辑栏的编辑工具包括字体的设置、文件和图片的上传、插入链接、插入表格和嵌入小部件,网页编辑好后可以通过Preview(预览)按钮预览页面效果,若对该页面效果感到满意,就单击Save(保存)按钮,对刚才编辑好的页面进行保存。
2.管理Wiki页面
页面编辑好后,就需进行必要的管理和维护工作,单击页面左上角的Manage Wiki(Wiki管理)按钮,就进入了Wiki的管理界面。Wikispaces的管理界面由内容、人员、设置和工具四个部分组成。
(1)Content(内容)
内容包括Pages(网页)、Files(文件)、Tags(标注)、Templates(模板)和Recycle Bin(回收站)。
网页主要包括三个方面的内容,页面名称、最后编辑人员的姓名和该页面的更新日期。此外还可以对某一个页面进行锁定、解锁和删除的操作。
文件页面统计了上传文件的名称、类型、上传者和更新日期四个方面的信息,并可以在该页面删除不需要的文件。
标注主要包括标注的名称、页面的使用次数、最近使用的时间和标注动作。标注动作分为重命名和删除两种。
模板主要是让使用者创建自己的页面模板,创建时需要输入模板名称和开始使用模板的页面号码。
回收站保存了删除的页面,若是不小心删除了原本不想删除的页面,就可以在回收站中选中需要恢复的页面,点击Restore(恢复)按钮,该页面就可以恢复到删除前的状态。
(2)People(人员)
人员包括Members(成员)、Permissions(权限)、Invite People(人员邀请)。
成员主要包括成员、有待处理的成员申请和邀请新的成员三个方面的内容。邀请新的成员只要在文本框中输入被邀请人的E-mail地址或Wiki的注册名就可以了,有待处理的成员申请显示了申请人的姓名、申请日期、留言和身份,这有利于管理者进行处理,而成员则可以对某个成员进行删除、升级为管理伙伴、把管理伙伴降级为成员的操作。
权限是对Wiki、访问和页面权限进行的设置。Wiki权限分为公共、受保护、私人和自定义四种。公共和受保护是免费的,每个人都可以访问,但只有是公共权限的Wiki,访问者才可以编辑。私人和自定义是需要付费的,Wiki管理者拥有较高的管理权限。自定义权限是付费模式,由Wiki管理者自己决定哪些人可以浏览、编辑、创建Wiki页面和在讨论区发起讨论。页面权限则用以改变某一个页面的访问权限。
(3)Settings(设置)
设置包括Look and Feel(外观和视觉)、Wiki Info(Wiki信息)、Subscription(订阅信息)、Domain Name(Wiki域名)和Content Manager(内容管理器)。
外观和视觉包括主题和颜色、Wiki样式表、标志和广告四个部分。在主题和颜色栏目里,系统预定义了13种不同的主题样式和颜色,选择其中的一种可以进行预览或应用,管理者还可以在预定义样式中选择“预览和自定义”按钮对背景颜色、标题颜色、按钮颜色和链接颜色进行设置。此外,在付费模式下,管理者还可以自定义自己喜爱的主题。
Wiki信息包括Wiki信息、SSL(安全接口层)设置、讨论区设置、Google数据统计分析设置、许可设置。Wiki信息有Wiki名称(笔者创建的Wiki名称是yellowleaves),域名和描述。SSL设置是为了保证页面信息传递的安全性的一种机制,该机制需要付费。讨论区设置可以选择在Wiki中使用讨论的方式,分为页面没有讨论区、每个页面有一个讨论区、整个Wiki只有一个讨论页面三种形式。Google数据统计分析设置提供了Wiki的流量分析和统计数据,该功能也是需要付费的。许可设置是为维护知识产权而进行的设置,默认的是以创造性的共同贡献的方式共享。
订阅信息则显示了当前Wiki是基本版、增强版还是高级版的状态。Wikispaces公司最近为用作K-12的Wiki进行了免费升级,可以享受在增强版中需要付费才能享受的功能。要实现升级,只需点击订阅信息页面底端的升级按钮进行升级即可。
Wiki域名提供了Wikispaces的标准域名和自定义域名,标准域名是以.省略结尾的(笔者的域名是yellowleaves.省略),而自定义域名可以把.省略任意改为其他的名称,当然,自定义域名是在付费之后才能够使用。
内容管理器记录了管理页面的名称,最新编辑的时间和页面编辑的动作,在内容管理器中可以新增加管理页面。
(4)Tools(工具)
工具包括Notifications(通知)、Wiki Statistics(Wiki数据统计)、Space Usage(空间使用统计)、Badges(Wiki徽章)、Web Folders(网络文件夹)、Import Blog Post(嵌入博客)、Exports(导出Wiki)和Delete Wiki(删除Wiki)。
通知,可以通过页面名称来查找发生改变的页面,也可以通过邮件或Wiki订阅器的方式来访问发生变化的页面。
Wiki数据统计则是统计每一个月Wiki的浏览次数、特殊访问者的人数、编辑的次数、信息的条数、编辑者的人数和访问比例居于前十的国家的名称。
空间使用统计显示了该Wiki拥有的总空间大小,已使用的空间大小以及页面占用空间的大小、文件占用空间的大小和导出的Wiki所占用空间的大小。
Wiki徽章提供了小图片徽章、大图片徽章和不断变化的徽章三种徽章形式。
网络文件夹可以通过URL地址链接到网络文件,方便对文件、页面的浏览和编辑,在付费模式下还可以上传、重命名或删除各种文件和Wiki页面。
嵌入博客是在URL文本框中输入博客的链接地址,点击Find a Blog Post,就可以在Wiki页面中嵌入博客。
导出Wiki可以把Wiki导出成内容格式为HTML、WikiText或PDF,文件格式为Windows.zip或Unix.tgz的文件。这有利于Wiki内容的备份。
删除Wiki页面提供了是否确认要删除Wiki的提问信息,用以提醒管理者。
Wikispaces与其他Wiki系列平台的对比分析
Wiki是一种在网络上开放、可供多人协同创作的超文本系统。现今网络上影响力最大的Wiki当属Wikipedia(维基百科)。
随着网络技术的发展和Web2.0时代的到来,Wiki走向了免费开源的新阶段。目前比较常见的Wiki平台有Wikipedia、天下维客以及开源平台doku、moinmoin、pmWiki、XWiki、TWiki等。
1.Wikispaces与Wikipedia的比较
Wikispaces与Wikipedia在协作性、知识构建方面具有相似性,但二者在知识的专业性和页面管理方式这两个方面存在较大的差异。
(1)知识的专业性
Wikispaces与Wikipedia的最大区别是,Wikispaces在知识构建和积累的专业性方面比Wikipedia要好。Wikipedia是一部人人可编辑的自由百科全书,每个人不管其知识层次的高低、知识专业性与否,都可以以自己对世界的认知,对Wikipedia上的条目进行编辑修改,而Wikispaces主要面向中小学、高校、企业等专业性强的组织机构。教育机构作为知识传承的殿堂,企业作为市场经济竞争的主体,都对知识的专业性有很高的要求。
(2)页面管理方式
在Wikipedia上,除了网站的管理者外,每个Wikipedia爱好者和条目编辑的参与者的权限是一样的,除了被管理员设为“被半保护的页面”之外,每个人都可以对他人的页面内容进行编辑修改。缺乏权限控制的编辑方式,虽然为知识的构建创造了一定的条件,但也给页面内容的权威性和可信度打了一定的折扣。
Wikispaces除了网站的管理者外,注册会员对自己的Wiki拥有一定的管理权限,可以对邀请加入自己Wiki的成员进行多种身份的限定,这有利于页面内容的管理和稳定的人际关系的形成,从而在一定程度上保证了知识的权威性和可信度。
2. Wikispaces与天下维客的比较
天下维客是基于Wiki技术的公益性知识网站,目标是与网友共建开放的在线知识库,以建立开放的在线学院,其管理模式与Wikipedia没有多大的区别。Wikispaces的目标定位不是建立开放的在线学院,其目标人群是中小学、高校和企业界的人士。
3. Wikispaces与开源平台的比较
Doku、XWiki等开源平台主要面向Wiki网站的搭建,这不仅需要相关平台的安装知识,还需要能够安装平台的服务器或服务器空间,如果希望自己搭建的网站能够被人访问,还需要购买域名并绑定到该服务器空间上,一个Wiki网站每年需要花费不少的费用。
对于个人,使用Wikispaces提供的基本版完全能够满足需求,不需要懂得如何搭建和维护网站,也不需要购买服务器或服务器空间和域名以支持网站的运营。中小学校可以免费使用Wikispaces提供的增强版的功能,来搭建学习交流的平台。即使是需要付费的高级版和私人版的功能,对高校和企业来说收费也不算贵,同时省去了搭建网站所需的运营管理费用和系统升级与维护费用。
网页安全论文篇(6)
1电子商务网站的安全分析
电子商务网站受到攻击后产生的危害主要体现在修改网页内容、窃取商业数据和个人账户资料、恶意破坏网站以及窃取程序文件等。基于ASP技术和Access数据库建设的电子商务网站,主要的安全隐患一方面来自Access数据库的安全性,另一方面来自ASP源文件和ASP网页设计过程中的安全意识。
1.1Access数据库的存储隐患
采用Access数据库建设的电子商务网站中,如果有人获得或猜到了数据库的存储路径和数据名,那么该数据库就可以被下载到本地。例如,某电子商务网站的URL(UniformResourceLocator)是,而网站使用的数据库ec.mdb就放在根目录/下。那么只要在在浏览器地址栏中输入地址:http:///ec.mdb,数据库ec.mdb就可以轻松的被下载了。
1.2Access数据库的解密隐患
由于Access数据库的加密机制比较简单,即使设置了密码,也很容易解密。该数据库系统通过将用户输入的密码与某一固定的密钥进行异或来形成一个加密串,并将其存储在*.mdb文件从地址“&H24”开始的区域中。根据异或操作的特点,可以很轻易的编制出解密程序。所以,无论数据库是否设置密码,只要数据库被下载,其信息就没有任何安全性可言了。
1.3ASP源文件的安全隐患
由于ASP程序是非编译性语言,采用ASP技术编写的脚本程序使用明文(plaintext)编写,一旦ASP应用程序到网络环境中,源代码就很容易泄漏,大大降低了源程序代码的安全性。因此任何人闯入站点,那么就可以获得全部的ASP应用程序源代码。
1.4ASP程序设计中的安全隐患
ASP代码利用表单实现和用户的交换的功能,在不同的ASP页面之间传递变量时,其内容会反映在浏览器的地址栏中。如果不采取适当的安全措施,那么只要记住这些内容就可以绕过用户身份验证而直接进入某些页面。例如,只要在浏览器的地址拦输入,就可以绕过验证而直接进入满足条件“id=10”的页面。所以在设计注册和验证的页面时必须采取相应的措施来预防此类问题的发生。
1.5SQL注入漏洞
很多电子商务网站都采用客户身份认证方式来达到内部网页加密的目的,即用户在登录窗口输入正确的用户名和密码就可以访问网页,否则报错。然而,“adminor1=1”成为攻破该类认证系统的万能密码,类似的密码还可以有无数个。一般的电子商务网站在设计登录验证时使用下面的SQL语句来验证用户的合法性:Sql="select*fromuserwhereusername="&request.form("username")&"''''andpasswd=''''"&request.form("passwd")&"''''"此时,用户只要根据sql构造一个特殊的用户名和密码,如:admin''''or''''1''''=''''1。就可以成功登录。将程序和用户数据合起来将变成:Sql=”select*fromuserwhereusername=adminandpasswd=''''''''or''''1''''=''''1''''”由于1=1是衡成立的,所以这个查询的结果也衡为真,因此就会登录成功。
2提高电子商务网站安全性的方法
2.1防止数据库被下载
1)非常规命名。为数据库文件起一个非常复杂的非常规名字且存放在多层目录下,可有效防止数据库被下载。例如,电子商务网站的数据库文件,不把它命名“ec.mdb”,而给它一个非常规的命名“adf3kxgce.mdb”,再把它放在如…/fsawdk5kl/rtr6we/jhlj9/i-uergh3p之类的深沉目录下。这样就加大了黑客通过猜测的方式来获得数据库的难度。
2)使用ODBC数据源。使用ODBC数据源也可以防止数据库被下载。在ASP程序设计中,应该尽量使用ODBC数据源,而不要把数据库名写在程序中。这样即使ASP代码泄露,数据库名也不会被知道。例如,在建立了一个数据源user后,打开数据库的ASP源码如下:setconn=server.createobject(“adodb.Connection”)conn.ConnectionString=″dsn=user;uid=;pwd=″conn.open这样,在ASP程序中就不会出现源数据库的任何相关目录和名称,大大提高了数据库的安全性。
3)利用.MDE文件保护数据库。MDE是一种经过编译的特殊形式的数据库,把数据库文件转换为MDE文件后,可以完全保护Access中的代码免受非法访问。将.mdb文件转换为MDE文件时,Access将编译所有模块并删除所有可编辑的源代码,然后压缩目标数据库,而原始的.mdb文件不会受到任何影响。
4)改数据库扩展名。由于.inc文件在IIS上默认是不允许浏览的,因此根据IIS的这一特点可以把数据库的后缀名改为.inc。这种通过在IIS上把数据库所在的目录设置为不可读的方法也可以防止数据库被下载。
5)数据库加密。对数据库中的信息进行加密,可以保证即使在黑客下载到数据库文件并打开数据库后,也不能有效获取数据。目前的加密算法有很多,常用的专用密钥加密(如:3DES、IDEA、RC4和RC5)和公钥加密(如:RSA、SEEK、PGP和EU)能很好的保证数据的保密性、完整性和真实性。
2.2对ASP页面进行加密
为有效的防止ASP源代码泄露,必须对ASP页面进行加密。ASP页面加密一般有两种方法:一种是使用组件技术将程序代码封装入DLL中;另一种是使用微软的ScriptEncoder对ASP页面进行加密。由于使用组件技术需对每段代码组件化,且由于操作烦琐,工作量较大等原因而很少使用。一般使用ScriptEncoder对ASP页面进行加密,它不但操作简单,而且加密效果也很好,只需掌握一些基本的命令即可,而且可以处理批量的ASP页面。
2.3利用Session对象设计注册和验证页面
为防止未注册的用户绕过注册页面的验证而直接进入应用系统,可以采用Session对象来进行注册验证。例如,本系统利用下面的代码来实现注册页面的验证:<%''''读取用户的账号和密码User_ID=Request(“UserlD”)Password=Request(“Password”)''''检查UserID及Password是否正确IfUserID<>“Name”orPassword<>“password”ThenResponse.Write“你输入的账号不正确!”Response.EndEndIf''''将Session对象设置为通过验证状态Session(“Passed”)=True%>进入应用程序后,首先进行验证:<%''''如果未通过验证,则重新返回登陆状态IfNotSession(“Passed”)ThenResponse.Redirect“Login.asp”EndIf%>
2.4SQL注入漏洞防范策略防范SQL注入漏洞,要求程序员形成良好的编程习惯,可以采用如下方法来防范这类攻击:
网页安全论文篇(7)
关键词:网站建设;网页设计;安全缺陷;对策
中图分类号:TP393.092 文献标识码:A 文章编号:1007-9599 (2012) 15-0000-02
随着我国科学技术的不断发展,网络技术的快速更新和完善,促进了我国电子商务技术的发展,目前,电子商务技术应该成为企业经济进步的重要手段。商务网站,是电子商务的主要应用途径,以网页的形式展示企业的形象和产品,从而帮助用户对企业做以全方位的了解,促进贸易合作的达成,可见,网站建设的好坏,将直接影响到企业的经济效益。网页设计作为网站建设的关键工作,目前越来越受到企业的重视,如果网页设计工作出现问题,将会导致企业网站的运行问题,从而为企业带来巨大损失。
1 网页设计中安全缺陷的形成原因
网站,是用户同企业之间的一种重要交流方法,网站为用户提供了全面的企业信息,帮助用户了解企业产品和企业形象,从而促进用户与企业交易活动的达成,可以说,网站是电子商务的重要表现途径,是企业的重要资产,也是现代企业发展必不可少的重要手段。网页设计,就是对企业网站各项内容的建设,网页设计的好坏,直接影响到网站的实际作用效果。随着科学技术的不断发展,大量先进设计软件的应用,很大程度上实现了网页设计的快速化和高效化,为网站开发人员的工作提供了强有力的支持。
在网站设计过程中,脚本语言编程技术可以更好的管理网站资源,实现网站同用户之间的交流和沟通,便于用户了解企业动向、企业产品、参与企业的论坛交流、在线调查以及贸易合作等等,为网站功能的实现提供了可靠的保障,为企业的发展提供了持久的动力。但是,由于网站依靠脚本语言编程技术实现了用户同企业信息的交互,脚本语言编程出现问题,则造成严重的安全缺陷,给企业网站和内部信息带来非常大的风险。由于用户输入信息不同于企业信息,用户的输入信息存在非常大的不可控性,如果网站开发人员没有对用户信息进行充分的考虑和详细的分析,将会导致用户输入内容成为一种攻击企业网站的危险工具,从而影响到网站的正常运行,形成攻击时间。网页脚本语言编程直接同企业网络服务器相连接,同网站的数据库、网站设置都有着密切的联系,如果玩站程序设计存在缺陷,就会使得网站整体存在缺陷,一旦出现攻击事件,就会给企业网页带来非常大的影响,最终导致网络瘫痪和信息窃取等问题的发生,给企业带来非常大的损失。
2 常见网页设计安全缺陷及相关解决对策
网页设计中的安全缺陷,将会给企业网站的稳定性造成非常严重的影响,使得网站的安全性能大大降低,增加企业的网络运行风险,制约着企业电子商务技术的发展。网页设计中的安全缺陷主要包括登陆验证缺陷、逃避验证安全缺陷、桌面数据库安全缺陷、源代码安全缺陷、文件上传安全缺陷等问题,在实际网页设计过程中,我们应该重视对相关问题的解决和控制,避免安全事件的发生,确保企业网站运行的稳定性,促进企业电子商务活动的正常开展。
2.1 登陆验证安全缺陷
用户登陆是用户网站活动中必不可少的行为和工作,用户名的建立和登陆,便于企业对用户信息的管理和掌握,便于企业相关工作活动的开展,而对于用户来说,登陆名的建立能够更好的维护个人利益,避免相关隐私信息的泄露。用户登陆过程中,需要对用户信息进行验证和确认,因此,登陆验证程序,是网站运行程序中的重要部分,是网站的一道安全关口。目前,许多网站开发人员都会忽略用户登陆验证环节,没有充分考虑登陆验证的重要性和关键性,没有采取有效手段来加强登陆验证程序的稳定性,致使部分人员乘虚而入,对网站安全造成严重的影响,带来巨大的经济损失。目前,许多网站都会存在登陆验证安全缺陷,这一问题的原因主要由于网站开发人员没有全面分析验证程序风险,使得验证程序不严谨,造成脚本语言编写程序在对用户账号密码进行验证工作时出现问题。
比如,网站开发人员在实现用户名登陆和验证工作时,往往需要在数据库中的user数据表内进行相关程序的编写,以username和password分别表示用户登录时所输入的账号名称和登陆密码。当用户在进行相关信息的录入时,如果用户所输入的参数能够在数据表内搜寻到,则证明用户信息属实,用户登陆合法,允许用户各项功能的使用,法制,则证明用户信息的不合法,从而不允许其对网站信息的访问。判断用户信息合法性的主要依靠SQL查询语句进行,如果网站某一用户账号为Admin,用户密码为为a' or 'a'='a,则依靠SQL查询语言所获取的反馈内容则为变更为SQL=“select * from username where username=’a’ and password=’a’ or ’a’=’a’”,使得查询结果同实际信息存在非常大的区别,从而使得用户登陆验证失去有效性,使得任意存在用户名都可以进行网站的访问,从而给网站运行带来非常大的影响。
针对于这一问题,具体的解决方法有:设定注册限制,避免非法账户密码的申请,从而有效避免相关问题的发生;其次,在进行SQL登陆查询时,先对用户信息进行过滤,防止非法账号密码的应用;最后,在进行用户验证时,先对用户名进行验证,待用户名属实后,再进行密码的验证工作。
2.2 逃避验证安全缺陷
所谓逃避验证安全缺陷,就是部分用户在进行网站浏览的过程中,由于掌握了设计界面的路径或文件名,且这一界面不存在用户登陆限制,从而使得用户能够直接通过输入设计页面的文件名,而逃避用户登陆环节,进入页面并实现对网站信息的阅读和内容的访问。为防止逃避验证安全缺陷的发生,网站开发人员进行加强对网页信息的保密工作,避免相关数据的泄露。同时,网页设计人员应该加强对网站相关重要页面进行身份验证限制,使得用户无法避免身份验证工作,提高网站各站点的安全系数。
2.3 桌面数据库安全缺陷
桌面数据库安全缺陷主要发生于ASP+ Access应用系统中,一般来说,网站都会为用户提供部分信息的下载功能,但是,如果用户获得Access数据库的存储路径和数据库名,就能够将数据库中的其他信息下载到用户本地电脑,从而导致网站相关数据的流失。因此,在实际网站开发过程中,ASP程序应该尽量使用ODBC数据源,这样能够有效避免数据库名称被直接写入运行程序,从而有效提升了数据库信息的安全性能,避免ASP数据库内相关资料的流失和窃取,确保良好的网站运行环境。
2.4 源代码泄露缺陷
为避免网站源代码的泄露和窃取,在实际网站设计过程中,可以对网站页面代码进行加密处理,从而提升网站的整体安全性能。一般来说,进行ASP页面加密的方法主要有两种,第一种是将变成逻辑语言通过组件技术将其封装入DLL文件中,以避免信息的丢失;第二种方法则是依靠微软Script Encoder对ASP页面进行加密。DLL封装方法是一种较为传统的代码加密方法,操作比较繁琐,工作量较大,随着Script Encoder的逐渐推广,DLL封装方法逐渐被淘汰,目前,多是应用Script Encoder实现对代码的加密,从而提高网站的安全性能。
2.5 文件上传缺陷
对于社区网站以及交友网站等,多具有文件上传功能,以促进用户间的交流和沟通,是网络生活的重要做成部分。文件上传缺陷,就是指用户在进行文件上传时,设计者没有充分对用户上传信息参数进行分析和限制,从而导致恶意文件的穿上,对网站数据库造成破坏。为解决文件上传缺陷,应该在网站系统中添加判断程序,在获取用户文件上传请求后,对文件进行判断,确保文件信息的可信任度,避免非法软件对网站系统的破坏。
3 总束结
网站建设对于企业的发展具有非常重要的意义,实现网站建设的重要手段则是网页设计技术,因此,在进行网站建设时,一定要加强对网站缺陷和危险因素进行充分考虑,加强网站安全维护程序,加强对上传信息的分析和处理,从而确保网站的运行效果,提高网站的安全性能,促进我国电子商务技术的快速发展。
参考文献:
[1]王志业.动态网页设计技术的安全漏洞及解决办法[J].安徽科技,2009(10)
[2]龚静,曾莉.浅谈网络攻击与防范策略[J].安庆师范学院学报(自然科学版),2010(03)
