前言：尋找寫作靈感？中文期刊網(wǎng)用心挑選的網(wǎng)頁(yè)設(shè)計(jì)的安全缺陷及對(duì)策，希望能為您的閱讀和創(chuàng)作帶來靈感，歡迎大家閱讀并分享。

摘要：

網(wǎng)站是互聯(lián)網(wǎng)技術(shù)的基本表現(xiàn)形態(tài)，也是信息輸入和輸出的重要平臺(tái)，隨著近年來我國(guó)電子商務(wù)產(chǎn)業(yè)的快速發(fā)展，網(wǎng)站建設(shè)的安全性要求也不斷提高。網(wǎng)頁(yè)作為網(wǎng)站的基本構(gòu)成要素，往往因?yàn)榇嬖谠O(shè)計(jì)方面的安全缺陷而成為黑客、病毒和木馬威脅的對(duì)象，由此造成嚴(yán)重的經(jīng)濟(jì)損失，甚至造成社會(huì)恐慌。本文中筆者針對(duì)網(wǎng)站建設(shè)的安全性展開研究，以網(wǎng)頁(yè)設(shè)計(jì)的安全缺陷為切入點(diǎn)，通過分析并提出相應(yīng)地防治策略。

關(guān)鍵詞：

網(wǎng)站建設(shè);網(wǎng)頁(yè)設(shè)計(jì);安全缺陷;防治對(duì)策

一直以來，網(wǎng)站建設(shè)中都將安全性作為首要考慮對(duì)象，尤其在當(dāng)前互聯(lián)網(wǎng)經(jīng)濟(jì)環(huán)境下，各類網(wǎng)站的運(yùn)營(yíng)均以會(huì)員制度展開，尤其是電子商務(wù)網(wǎng)站，除了用戶的個(gè)人隱私之外，還包括重要的金融信息，很容易被不法分子所覬覦。針對(duì)網(wǎng)站的非法行為主要是利用技術(shù)手段找到破綻，從而達(dá)到非法獲利的目的，因此對(duì)廣大網(wǎng)站運(yùn)營(yíng)主體而言，在網(wǎng)站建設(shè)前、中、后期都要做好全面的安全防護(hù)工作；相對(duì)而言，網(wǎng)頁(yè)設(shè)計(jì)中存在的安全缺陷較多，如權(quán)限級(jí)別過高、數(shù)據(jù)庫(kù)漏洞等，所以應(yīng)該將其視為網(wǎng)站安全防護(hù)的重點(diǎn)。

1、網(wǎng)站建設(shè)中網(wǎng)頁(yè)安全的重要性

狹義上說，網(wǎng)站是由不同功能界面的網(wǎng)頁(yè)構(gòu)成的，網(wǎng)頁(yè)的形式總體上分為靜態(tài)和動(dòng)態(tài)兩種。靜態(tài)網(wǎng)頁(yè)是網(wǎng)站技術(shù)早期的一種形式，通過瀏覽器可以訪問預(yù)先設(shè)計(jì)好的網(wǎng)頁(yè)格式，但靜態(tài)網(wǎng)頁(yè)中的所有元素都是固定的，如圖片、文字、視頻等，修改工作也基于人工操作完成，信息不會(huì)因?yàn)橛脩舻牟僮鞫l(fā)生變化，嚴(yán)格意義上說，靜態(tài)網(wǎng)頁(yè)除了IP之外不存在其他“入口”。然而，靜態(tài)網(wǎng)頁(yè)顯然不符合網(wǎng)站建設(shè)的發(fā)展趨勢(shì)，隨著用于規(guī)模擴(kuò)大、信息容量增加，網(wǎng)站逐漸采取了動(dòng)態(tài)技術(shù)，如PHP、ASP、C++等，其優(yōu)勢(shì)在于網(wǎng)頁(yè)內(nèi)容可根據(jù)用戶操作發(fā)生相應(yīng)的變化，反饋用戶所需要的信息，換而言之，基于服務(wù)器中斷的網(wǎng)頁(yè)設(shè)計(jì)中包含了大量腳本語言，利用程式化優(yōu)勢(shì)來提高網(wǎng)站資源的統(tǒng)籌和管理效率，而“網(wǎng)頁(yè)”變成一種臨時(shí)性的調(diào)用元素“集合”，當(dāng)用戶需要某一網(wǎng)頁(yè)形式時(shí)，腳本語言直接從數(shù)據(jù)庫(kù)中調(diào)取相應(yīng)的元素，如用戶登錄網(wǎng)頁(yè)和注冊(cè)網(wǎng)頁(yè)中存在的“驗(yàn)證碼”部分，事實(shí)上屬于同一種驗(yàn)證機(jī)制。理論上說，任何一種系統(tǒng)都存在漏洞，以技術(shù)實(shí)現(xiàn)的網(wǎng)站系統(tǒng)更是如此，在動(dòng)態(tài)網(wǎng)頁(yè)驅(qū)使下產(chǎn)生的安全缺陷更多，具有高超計(jì)算機(jī)程度能力的黑客只需要簡(jiǎn)單的步驟就可以找到“突破口”。

2、網(wǎng)站建設(shè)中網(wǎng)頁(yè)設(shè)計(jì)的安全缺陷分析

目前在國(guó)內(nèi)網(wǎng)站技術(shù)背景下，常見的網(wǎng)頁(yè)設(shè)計(jì)安全缺陷主要有以下幾種表現(xiàn)。

2.1驗(yàn)證安全缺陷

驗(yàn)證安全缺陷是目前國(guó)內(nèi)網(wǎng)站中最為常見的一種，尤其是在大量自主開發(fā)網(wǎng)站中，其源程序和代碼均來源于網(wǎng)絡(luò)，難免存在一些設(shè)計(jì)缺陷。驗(yàn)證機(jī)制最早是針對(duì)惡意注冊(cè)、網(wǎng)絡(luò)攻擊而開發(fā)的，最早出現(xiàn)與一些公眾交流平臺(tái)，如論壇、貼吧、聊天室等，由于它可以很好地保護(hù)網(wǎng)絡(luò)的通暢性，因此迅速的在廣大網(wǎng)站中流行開來。但是，登錄驗(yàn)證機(jī)制只是網(wǎng)站安全的“最低門檻”，雖然通過提高驗(yàn)證復(fù)雜性來規(guī)避惡意注冊(cè)，卻不能將其視為保護(hù)網(wǎng)站安全的唯一途徑。事實(shí)上，驗(yàn)證機(jī)制由于和服務(wù)器、數(shù)據(jù)庫(kù)之間的密切聯(lián)系，很可能成為一個(gè)被刻意攻擊的對(duì)象，而對(duì)于網(wǎng)站程序員而言，很少會(huì)刻意強(qiáng)化一個(gè)本質(zhì)上屬于“安全機(jī)制”的組件，一旦登錄驗(yàn)證被攻破，網(wǎng)站的整個(gè)安全性也就隨之降低。

2.2地址安全缺陷

通過SQL注入的方法可以欺騙服務(wù)器，找出網(wǎng)站數(shù)據(jù)庫(kù)存在的安全漏洞，從而進(jìn)行非法活動(dòng)，尤其在以WEB表單遞交查詢關(guān)鍵字的網(wǎng)站系統(tǒng)中，黑客可以繞過敏感網(wǎng)頁(yè)的權(quán)限直接進(jìn)入后臺(tái)頁(yè)面，這一缺陷在國(guó)內(nèi)大量成品網(wǎng)站中十分突出，如事業(yè)單位、企業(yè)單位、個(gè)人網(wǎng)站中，長(zhǎng)期忽視安全級(jí)別更新，不法分子在得知某一個(gè)網(wǎng)頁(yè)的文件名、路徑、元素之后，能夠繞過登錄、注冊(cè)和驗(yàn)證機(jī)制。

2.3防護(hù)安全缺陷

病毒和木馬是人為制造出來的計(jì)算機(jī)惡性應(yīng)用程序（或代碼），也是針對(duì)網(wǎng)站展開攻擊頻率最高的一種形式，不法分子只需要制造并傳播病毒、木馬即可，而不需要親自操作。以計(jì)算機(jī)網(wǎng)絡(luò)病毒為例，一旦被激活之后就會(huì)迅速感染計(jì)算機(jī)文件，并通過正常的網(wǎng)站操作進(jìn)入網(wǎng)站系統(tǒng)，從而對(duì)整個(gè)網(wǎng)站的安全產(chǎn)生威脅。事實(shí)上，網(wǎng)站空間中的病毒也常常偽裝為網(wǎng)頁(yè)文件（如.ASP/.PHP等）、圖片、壓縮文檔等形式，讓人真假難辨，且十分頑固、難以清除。

3、網(wǎng)頁(yè)設(shè)計(jì)的安全缺陷防治對(duì)策

結(jié)合現(xiàn)狀來說，網(wǎng)站建設(shè)技術(shù)已經(jīng)相對(duì)穩(wěn)定，在安全防護(hù)機(jī)制上重點(diǎn)突出硬件的特征，但網(wǎng)頁(yè)作為一個(gè)基本因素也不可掉以輕心，這是因?yàn)榫W(wǎng)頁(yè)設(shè)計(jì)的安全缺陷不僅僅是技術(shù)方面造成的，還與設(shè)計(jì)人員自身的安全意識(shí)相關(guān)。在網(wǎng)站建設(shè)技術(shù)日益成熟、防范殺毒系統(tǒng)（包括硬件）功能不斷增強(qiáng)的前提下，人為因素導(dǎo)致的安全缺陷開始增加，由于設(shè)計(jì)人員缺乏足夠的安全意識(shí)，在網(wǎng)頁(yè)設(shè)計(jì)過程中會(huì)忽略大量的安全要素。第一，加強(qiáng)網(wǎng)站源代碼的保護(hù)力度。在網(wǎng)絡(luò)資源免費(fèi)共享的誘惑下，大量開源網(wǎng)站代碼被植入到網(wǎng)站設(shè)計(jì)中，一些設(shè)計(jì)人員為了節(jié)省開發(fā)成本，對(duì)于安全級(jí)別較高的網(wǎng)頁(yè)缺乏審查，增加了后門和漏洞的風(fēng)險(xiǎn)。因此，在網(wǎng)站運(yùn)行前和運(yùn)行中都應(yīng)該不斷進(jìn)行網(wǎng)頁(yè)安全級(jí)別測(cè)試，及時(shí)法相存在的問題。第二，提高驗(yàn)證機(jī)制的安全性水平。目前，驗(yàn)證機(jī)制不僅僅被用于注冊(cè)、登陸，包括下載、修改、刪除等操作也大量存在，客觀上為網(wǎng)站入侵提供了更多的渠道。對(duì)于涉及驗(yàn)證機(jī)制的網(wǎng)頁(yè)或組件應(yīng)該提升安全級(jí)別，如設(shè)計(jì)二次登陸或加密算法。第三，重視文件上傳內(nèi)容的健康性。為了吸引用戶，一些網(wǎng)站提供了大量的免費(fèi)空間服務(wù)，這也是一個(gè)典型的安全漏洞，特別是在局域網(wǎng)絡(luò)中，如公司內(nèi)部網(wǎng)、校園網(wǎng)、網(wǎng)絡(luò)硬盤等空間中，一些被巧妙偽裝的病毒、木馬也可以上傳成功，從而產(chǎn)生嚴(yán)重的安全問題；因此，在提供免費(fèi)空間服務(wù)的網(wǎng)頁(yè)界面中，要提高對(duì)上傳者的身份驗(yàn)證、權(quán)限驗(yàn)證和內(nèi)容審查力度，加強(qiáng)文件信息和數(shù)據(jù)過濾的強(qiáng)度。

參考文獻(xiàn)

[1]楊杰.網(wǎng)站建設(shè)中網(wǎng)頁(yè)設(shè)計(jì)的安全缺陷及對(duì)策分析[J].無線互聯(lián)科技,2016,(20):43-44.

[2]趙磊.高校網(wǎng)站建設(shè)安全問題分析與對(duì)策[J].軟件,2015,(09):104-105+112.

[3]王洪海.試析網(wǎng)站建設(shè)中網(wǎng)頁(yè)設(shè)計(jì)的安全缺陷與解決策略[J].電子制作,2015,(01):83-84.

[4]宋鎮(zhèn).基于網(wǎng)站建設(shè)中網(wǎng)頁(yè)設(shè)計(jì)的安全問題的思考[J].無線互聯(lián)科技,2012,(04):31.

作者:樂蓓 陳莉 單位:江西現(xiàn)代技師學(xué)院