摘要:
网站是互联网技术的基本表现形态,也是信息输入和输出的重要平台,随着近年来我国电子商务产业的快速发展,网站建设的安全性要求也不断提高。网页作为网站的基本构成要素,往往因为存在设计方面的安全缺陷而成为黑客、病毒和木马威胁的对象,由此造成严重的经济损失,甚至造成社会恐慌。本文中笔者针对网站建设的安全性展开研究,以网页设计的安全缺陷为切入点,通过分析并提出相应地防治策略。
关键词:
网站建设;网页设计;安全缺陷;防治对策
一直以来,网站建设中都将安全性作为首要考虑对象,尤其在当前互联网经济环境下,各类网站的运营均以会员制度展开,尤其是电子商务网站,除了用户的个人隐私之外,还包括重要的金融信息,很容易被不法分子所觊觎。针对网站的非法行为主要是利用技术手段找到破绽,从而达到非法获利的目的,因此对广大网站运营主体而言,在网站建设前、中、后期都要做好全面的安全防护工作;相对而言,网页设计中存在的安全缺陷较多,如权限级别过高、数据库漏洞等,所以应该将其视为网站安全防护的重点。
1、网站建设中网页安全的重要性
狭义上说,网站是由不同功能界面的网页构成的,网页的形式总体上分为静态和动态两种。静态网页是网站技术早期的一种形式,通过浏览器可以访问预先设计好的网页格式,但静态网页中的所有元素都是固定的,如图片、文字、视频等,修改工作也基于人工操作完成,信息不会因为用户的操作而发生变化,严格意义上说,静态网页除了IP之外不存在其他“入口”。然而,静态网页显然不符合网站建设的发展趋势,随着用于规模扩大、信息容量增加,网站逐渐采取了动态技术,如PHP、ASP、C++等,其优势在于网页内容可根据用户操作发生相应的变化,反馈用户所需要的信息,换而言之,基于服务器中断的网页设计中包含了大量脚本语言,利用程式化优势来提高网站资源的统筹和管理效率,而“网页”变成一种临时性的调用元素“集合”,当用户需要某一网页形式时,脚本语言直接从数据库中调取相应的元素,如用户登录网页和注册网页中存在的“验证码”部分,事实上属于同一种验证机制。理论上说,任何一种系统都存在漏洞,以技术实现的网站系统更是如此,在动态网页驱使下产生的安全缺陷更多,具有高超计算机程度能力的黑客只需要简单的步骤就可以找到“突破口”。
2、网站建设中网页设计的安全缺陷分析
目前在国内网站技术背景下,常见的网页设计安全缺陷主要有以下几种表现。
2.1验证安全缺陷
验证安全缺陷是目前国内网站中最为常见的一种,尤其是在大量自主开发网站中,其源程序和代码均来源于网络,难免存在一些设计缺陷。验证机制最早是针对恶意注册、网络攻击而开发的,最早出现与一些公众交流平台,如论坛、贴吧、聊天室等,由于它可以很好地保护网络的通畅性,因此迅速的在广大网站中流行开来。但是,登录验证机制只是网站安全的“最低门槛”,虽然通过提高验证复杂性来规避恶意注册,却不能将其视为保护网站安全的唯一途径。事实上,验证机制由于和服务器、数据库之间的密切联系,很可能成为一个被刻意攻击的对象,而对于网站程序员而言,很少会刻意强化一个本质上属于“安全机制”的组件,一旦登录验证被攻破,网站的整个安全性也就随之降低。
2.2地址安全缺陷
通过SQL注入的方法可以欺骗服务器,找出网站数据库存在的安全漏洞,从而进行非法活动,尤其在以WEB表单递交查询关键字的网站系统中,黑客可以绕过敏感网页的权限直接进入后台页面,这一缺陷在国内大量成品网站中十分突出,如事业单位、企业单位、个人网站中,长期忽视安全级别更新,不法分子在得知某一个网页的文件名、路径、元素之后,能够绕过登录、注册和验证机制。
2.3防护安全缺陷
病毒和木马是人为制造出来的计算机恶性应用程序(或代码),也是针对网站展开攻击频率最高的一种形式,不法分子只需要制造并传播病毒、木马即可,而不需要亲自操作。以计算机网络病毒为例,一旦被激活之后就会迅速感染计算机文件,并通过正常的网站操作进入网站系统,从而对整个网站的安全产生威胁。事实上,网站空间中的病毒也常常伪装为网页文件(如.ASP/.PHP等)、图片、压缩文档等形式,让人真假难辨,且十分顽固、难以清除。
3、网页设计的安全缺陷防治对策
结合现状来说,网站建设技术已经相对稳定,在安全防护机制上重点突出硬件的特征,但网页作为一个基本因素也不可掉以轻心,这是因为网页设计的安全缺陷不仅仅是技术方面造成的,还与设计人员自身的安全意识相关。在网站建设技术日益成熟、防范杀毒系统(包括硬件)功能不断增强的前提下,人为因素导致的安全缺陷开始增加,由于设计人员缺乏足够的安全意识,在网页设计过程中会忽略大量的安全要素。第一,加强网站源代码的保护力度。在网络资源免费共享的诱惑下,大量开源网站代码被植入到网站设计中,一些设计人员为了节省开发成本,对于安全级别较高的网页缺乏审查,增加了后门和漏洞的风险。因此,在网站运行前和运行中都应该不断进行网页安全级别测试,及时法相存在的问题。第二,提高验证机制的安全性水平。目前,验证机制不仅仅被用于注册、登陆,包括下载、修改、删除等操作也大量存在,客观上为网站入侵提供了更多的渠道。对于涉及验证机制的网页或组件应该提升安全级别,如设计二次登陆或加密算法。第三,重视文件上传内容的健康性。为了吸引用户,一些网站提供了大量的免费空间服务,这也是一个典型的安全漏洞,特别是在局域网络中,如公司内部网、校园网、网络硬盘等空间中,一些被巧妙伪装的病毒、木马也可以上传成功,从而产生严重的安全问题;因此,在提供免费空间服务的网页界面中,要提高对上传者的身份验证、权限验证和内容审查力度,加强文件信息和数据过滤的强度。
参考文献
[1]杨杰.网站建设中网页设计的安全缺陷及对策分析[J].无线互联科技,2016,(20):43-44.
[2]赵磊.高校网站建设安全问题分析与对策[J].软件,2015,(09):104-105+112.
[3]王洪海.试析网站建设中网页设计的安全缺陷与解决策略[J].电子制作,2015,(01):83-84.
[4]宋镇.基于网站建设中网页设计的安全问题的思考[J].无线互联科技,2012,(04):31.
作者:乐蓓 陈莉 单位:江西现代技师学院