動態網頁設計技術的安全漏洞探析論文

　　【摘要】科技發展對人們生活產生了一定影響，並且電子商務逐漸成為企業重點發展的營銷模式，大多數企業都建立其自身的網站系統，對網頁設計技術安全性提出了較高要求。本文主要圍繞動態網頁設計安全漏洞的形成、動態網頁設計安全漏洞的分類、動態網頁設計安全漏洞及解決對策等方面展開討論，在對網頁設計中存在的安全缺陷有所掌握的基礎上，提出相應的安全漏洞解決措施，能有效增強系統內部資訊的安全。

　　前言

　　隨著網路規模的擴大化及電子商務的發展，促使企業注重其內部商務網站的建立，在構建網站系統時，需要加大對安全問題的重視，以便確保企業經濟活動在安全的網路環境下進行。雖然入侵檢測、防火牆等安全防護技術已經被大量應用在網站建設中，但是由於動態網頁設計的複雜性，可能導致網頁設計過程中存在較多程式漏洞，從而不利於網站正常運營，因此，有必要加大對網業設計技術安全隱患解決措施的研究。

　　1.動態網頁設計安全漏洞的形成

　　在進行動態網頁設計時，通常會運用到PHP、ASP或JSP等語言，在這些指令碼語言作用下，能為動態網頁設計提供應用性較強的設計工具，並能起到簡化程式開發流程的作用。在實際設計中，應用上述指令碼語言進行程式程式設計能提高網站管理水平，加強瀏覽介面與使用者間的互動作用[1]。例如，企業在建立網站系統時，將在其中設定產品管理系統、資訊釋出系統、論壇交流系統等多個功能模組。這些功能模組的共同點在使用者將大量資訊匯入系統中，以便藉助系統資訊傳播作用，使得使用者與使用者間、使用者與網站管理者間能進行實時溝通互動，確保在資訊有效共享的條件下，為使用者提供針對性服務。但是由於網站的互動特點，將導致系統可能存在安全漏洞，由於使用者資料資訊是不可預測的，如果程式不能對相關資訊作出適當反應，則使用者輸入資訊可能對網站安全性造成危害。為了解決上述問題，要求網頁設計人員能從保障網站資訊保安性這一角度出發，以便取得較好的動態網頁設計效果。

　　2.動態網頁設計安全漏洞的.分類

　　網頁設計安全漏洞通常包括登陸驗證介面漏洞和直接進入介面漏洞等。當網頁設計人員在登入介面設計時，忽視對系統安全性的保護，在實際設計階段沒有做到對登入介面的嚴格限制，將對系統安全性造成不利影響。而從直接進入介面這一漏洞角度出發，部分介面可直接根據資料庫中已有資訊登入系統中，部分介面的登入不需要使用者輸入賬號密碼，是網頁設計漏洞的體現。

　　3.動態網頁設計安全漏洞及解決對策

　　3.1登陸驗證漏洞

　　登陸驗證是各類網站系統應具備的基礎功能之一，如聊天室、網上影院以及論壇等網站，由於這些網站具有互動性特點，因此在使用者進入網站前，需要進行登陸驗證。可以說登陸驗證環節是網站系統的主要構成部分，同時是保障網站安全運營的重要關口。為了做到對網站資訊的保護，需要充分發揮登陸驗證的安全防護作用。但是部分網頁設計者容易忽視這一設計環節，在驗證程式關口上的處理還有所不足，這就將導致非法使用者入侵到網站中，將對網站使用者帶來經濟損失。造成登陸驗證存在漏洞的原因主要為，大部分網站在進行登陸驗證相關程式的編寫時，在驗證賬號身份程式方面不夠嚴謹。例如，在進行網站會員區程式設計時，一般將使用者賬號和密碼儲存在一個獨立的資料庫中，並利用相應欄位來表達使用者賬戶名稱和密碼。在登入驗證過程中，將檢查使用者匯入的相關引數是否與資料庫中資訊相一致，如果資訊一致，則說明使用者合法。對於登陸驗證介面設計來講，如果驗證程式碼編寫不當，將產生安全漏洞[2]。為了解決這個安全漏洞問題，要求設計者在進行各網站互動性動態網頁設計時，應確保使用者登入系統時的有關驗證工作能合理開展，使得登陸驗證程式在進行SQL查詢後，能對使用者身份加以驗證，或者在使用者進入系統對登陸賬號進行嚴格審查，從而增強登入資訊的安全性，是解決登陸驗證安全缺陷的有效途徑。另外，對於一些敏感網頁來講，當用戶需要登陸瀏覽這類網頁時，系統可要求使用者進行二次登入驗證，這一功能可透過網頁設計來實現，進一步加大網頁安全性。

　　3.2檔案上傳安全性漏洞

　　大部分網站包括郵件服務系統、論壇等都能實現檔案上傳這一功能，但是設計者在進行使用者上傳引數設計方面缺少有效過濾，將造成遠端違法分子利用設計漏洞向網站傳輸惡意檔案，將對資料庫造成嚴重危害。例如，iXmail中的指令碼語言在對使用者上傳的檔案缺乏資訊過濾環節，將為攻擊者創造上傳惡意檔案的機會，對伺服器正常運作有不利影響。例如，設計者在進行檔案上傳有關網頁的設計時，會選擇將系統內檔案儲存在/tmp目錄中，這種情況下，同戶可針對檔案資訊進行遠端訪問，但是同樣使得攻擊者能借助Web登入許可權在網站內部執行任意指令，是網頁設計存在安全缺陷的主要原因。為了解決這一問題，在進行檔案上傳功能介面設計時，應能在檔案上傳前，設計檔案型別識別模組，使得使用者能透過介面提示進行相關操作，能在該模組作用下完成檔案資訊過濾過程。例如，在使用者上傳圖片型別的檔案時，則系統規定只有GIF、JPG等格式的檔案能上傳，可有效限制惡意檔案進入系統中。具體來說，檔案上傳功能是大多數網站重點設計功能之一，能為使用者進行檔案傳輸及儲存等操作提供實施途徑，並且部分郵箱和論壇等網站具有圖片共享功能，以便滿足使用者需求。而對於使用者量較大的網站來講，使用者在檔案共享過程中可能夾帶病毒檔案，如果在網站設計階段不能對這一問題加以防範，則會對網站安全性造成威脅。因此，要求網頁設計者注重在檔案資料過濾功能上的設計，從而去除病毒檔案，為使用者提供良好的網頁瀏覽環境。

　　3.3桌面資料庫安全漏洞

　　在網站應用系統中，如果使用者獲取某一資料庫的資料庫名及儲存路徑，則能將這一資料庫下載至本地。以網上圖書館為例，這類網站對應的資料庫，通常將其命名成iLbrayr.mdb等，儲存路徑一般選擇放在根目錄下，在掌握上述資訊後，可將圖書館網站的資料庫下載到本地中[3]。由於部分資料庫的名稱及儲存路徑容易被他人掌握，這就將對資料庫安全帶來不利影響，無法實現資料庫資訊的安全。當存在資料庫安全漏洞時，將造成網站資料流失，因此，要求設計人員在網站開發階段，能採取適當的安全防護措施。如採用ASP程式來儘可能減少ODBC資料的運用，利用上述做法能有效避免資料庫名稱存在執行程式中，從而提高資料庫安全性，保證其中資料資訊不會被惡意破壞。

　　3.4逃避驗證漏洞

　　在進行動態網頁設計技術安全漏洞分析時，還應注意到逃避驗漏洞對網站資訊保安造成的不良影響，並能透過採取相應的解決措施，來做到對安全問題的有效防範。逃避驗證漏洞指的是存在部分使用者在瀏覽網頁過程中，已經對網站登入驗證程式的檔名及介面資訊等有所瞭解，這種情況下，登入介面無法發揮其驗證使用者身份的作用，使用者能在不登入系統的情況下進入網站，並透過介面操作來查詢和利用網站內資訊。上述網頁設計安全漏洞現象主要是由於網頁設計不嚴謹造成的，為了解決這一問題，需要設計人員在進行登陸網頁介面設計時，增加身份限制這一功能，使得使用者只能透過賬號登入進行系統，能極大程度增強網站安全性。

　　3.5原始碼安全漏洞

　　原始碼安全同樣是進行動態網頁設計時需要注重的問題，為了加大對原始碼安全性的保護，在實際設計過程中，通常採取在網頁程式碼上增設加密程式的設計方法，在加密技術作用下，能有效增強網站系統內部資訊的安全。在原始碼安全漏洞問題解決對策的選擇上，一般採用以下兩種方法：一是利用DLL檔案作用，將邏輯語言進行封裝處理，以免由於資訊被竊取而造成嚴重的網路安全問題；二是在微軟ScriptEncoder作用下，做到對頁面的加密處理。上述做法主要目的在於加大對系統原始碼的保護，是較為常見的網頁設計安全漏洞解決措施，其中DLL檔案能透過封裝語言資訊來對系統進行保護，有利於提高網站系統的安全係數，是動態網頁設計主要目標。

　　4.結論

　　綜上所述，在資訊化時代下，計算機技術取得了創新發展，在網路技術不斷普及的情況下，對網站建立嚴謹性提出了更高要求。在進行動態網頁設計過程中，通常需要運用到多種程式設計方法，在程式交錯作用下，容易造成系統產生漏洞問題。為了加強網站資訊保安性，需要完善動態網頁設計，並能在有效規避網頁安全漏洞的基礎上，確保網站效能的有效發揮，為使用者提供安全的資訊查詢環境，是提高動態網頁設計質量的關鍵。

　　參考文獻

　　[1]梁銀妮.Web網站中動態網頁設計技術的應用和實現[J].數字技術與應用,2017(01):83+85.

　　[2]劉進軍.淺析JavaScript在動態網頁設計中的應用[J].赤峰學院學報(自然科學版),2016,32(17):17-19.

　　[3]王志業.動態網頁設計技術的安全漏洞及解決辦法[J].安徽科技,2006(10):50-51.