企業(yè)網站設計安全缺陷如何解決?
日期 : 2019-01-24 08:26:22
解決登錄驗證安全缺陷
很多網站在進行用戶登錄時,多會使用人機交互界面完成登錄驗證。而網站的設計者對驗證程序沒有做到全面的考慮,這樣很容易產生登錄驗證安全缺陷,造成 Script Language編寫程序在對用戶賬號密碼進行驗證工作時出現問題。
針對登錄驗證安全缺陷這個問題,可以通過下面的方法解決:首先在注冊用戶名和密碼時添加注冊限制對于非法的用戶名和密碼不準申請;其次,在利用SQL語句進行登錄查詢時,我們可以先過濾用戶輸入的信息,在一定程度上防止非法賬號及密碼的應用;接下來,在進行用戶驗證時,不急于對用戶名和密碼同時進行匹配,而是先對用戶名進行驗證,等用戶名匹配成功之后,再進行密碼的驗證工作。這樣可以減少查詢時間,提高查詢效率。
SQL注入漏洞的預防
SQL語言是網站設計中必不可少的后臺數據庫語言。在SQL語言中有一些特殊字符如“*”等,這些特殊字符是為了完成模糊匹配的??捎行┚W站設計人員在網站設計初始,沒有考慮到SQL語言的書寫規(guī)范和特殊字符的應用,產生SL注入漏洞,導致攻擊者通過表單提交中的全局變量GET和POST把SQL語句提交并執(zhí)行。
針對于這一問題,具體的解決方法包括:可以打開配置文件中的 magc_ quotes_spe和 mage_ quotes_ runtime的設置;設置 resister globals為of;關閉全局變量注冊;最后,在給數據庫和數據表字段進行命名時,特別是一些重要字段命名時,不要取一些很容易被猜到的名字。例如“姓名”字段最好不要命名為name”字段。
文件上傳漏洞的解決方案
文件上傳漏洞產生的原因主要是攻擊者通過網站上提供的“上傳文件"功能,把一些惡意的可執(zhí)行文件上傳至服務器,并通過它獲得對服務器的控制權。可以通過下面幾個方面來解決文件上傳漏洞:首先把文件上傳的目錄設置為不可執(zhí)行,這樣一來,此目錄只能存放文件,不能做其它操作;其次,文件類型的判斷。要對上傳的文件進行判斷,可執(zhí)行文件等特殊類型的文件不可以上傳保存;最后,使用隨機數改寫文件名和文件路徑;單獨設置文件服務器的域名。
Web安全加固
針對網頁改的攻擊方法多種多樣。如果想要網頁不被纂改,最直接的方法就是在設計網頁時采取一定的措施來避免被簒改的網頁從服務器中流出去。同時,加固網頁使其不容易被修改。前者我們可以使用硬件的方式來實現。而后者,我們可以通過網頁設計和應用程序來實現。到目前為止兩種防護功能的相互整合程度還不是很高。在現今不斷發(fā)展的信息技術時代,網絡無處不在,我們的很多信息都是通過網站獲得,所以網站技術就成了項很重要的內容。網頁設計中經常使用的服務器端設計程序主要包括 Active Server Page、 Hypertext reprocessor、 Java Server Pages等腳本語言,正是這些腳本語言為網站開發(fā)提供了平臺。利用ASP、PHP、JSP等腳本語言搭建的網站后臺程序,不論是程序開發(fā)階段,還是程序后期維護階段,對于設計開發(fā)人員來說都非常的高效、便捷,而且實現起來也是比較容易的。一個功能健全而使用安全的網站所涉及到的程序內容有很多,又因網頁設計的特殊性,使得利用表單等功能實現的人機交互更為頻繁,用戶輸入什么信息內容是網頁設計者無法預測的,此時網頁設計中安全隱患就會暴露出來,用戶的輸入內容就有可能對網站造成不同程度的攻擊。在網站設計的過程中,除了上面介紹的幾種安全缺陷以外,還有很多其它的安全缺陷。因此,在建設網站時一定要多多注意網站的安全性,請在完成網站設計功能的基礎上,在一定程度上注意提高網站的安全性。
很多網站在進行用戶登錄時,多會使用人機交互界面完成登錄驗證。而網站的設計者對驗證程序沒有做到全面的考慮,這樣很容易產生登錄驗證安全缺陷,造成 Script Language編寫程序在對用戶賬號密碼進行驗證工作時出現問題。
針對登錄驗證安全缺陷這個問題,可以通過下面的方法解決:首先在注冊用戶名和密碼時添加注冊限制對于非法的用戶名和密碼不準申請;其次,在利用SQL語句進行登錄查詢時,我們可以先過濾用戶輸入的信息,在一定程度上防止非法賬號及密碼的應用;接下來,在進行用戶驗證時,不急于對用戶名和密碼同時進行匹配,而是先對用戶名進行驗證,等用戶名匹配成功之后,再進行密碼的驗證工作。這樣可以減少查詢時間,提高查詢效率。
SQL注入漏洞的預防
SQL語言是網站設計中必不可少的后臺數據庫語言。在SQL語言中有一些特殊字符如“*”等,這些特殊字符是為了完成模糊匹配的??捎行┚W站設計人員在網站設計初始,沒有考慮到SQL語言的書寫規(guī)范和特殊字符的應用,產生SL注入漏洞,導致攻擊者通過表單提交中的全局變量GET和POST把SQL語句提交并執(zhí)行。
針對于這一問題,具體的解決方法包括:可以打開配置文件中的 magc_ quotes_spe和 mage_ quotes_ runtime的設置;設置 resister globals為of;關閉全局變量注冊;最后,在給數據庫和數據表字段進行命名時,特別是一些重要字段命名時,不要取一些很容易被猜到的名字。例如“姓名”字段最好不要命名為name”字段。
文件上傳漏洞的解決方案
文件上傳漏洞產生的原因主要是攻擊者通過網站上提供的“上傳文件"功能,把一些惡意的可執(zhí)行文件上傳至服務器,并通過它獲得對服務器的控制權。可以通過下面幾個方面來解決文件上傳漏洞:首先把文件上傳的目錄設置為不可執(zhí)行,這樣一來,此目錄只能存放文件,不能做其它操作;其次,文件類型的判斷。要對上傳的文件進行判斷,可執(zhí)行文件等特殊類型的文件不可以上傳保存;最后,使用隨機數改寫文件名和文件路徑;單獨設置文件服務器的域名。
Web安全加固
針對網頁改的攻擊方法多種多樣。如果想要網頁不被纂改,最直接的方法就是在設計網頁時采取一定的措施來避免被簒改的網頁從服務器中流出去。同時,加固網頁使其不容易被修改。前者我們可以使用硬件的方式來實現。而后者,我們可以通過網頁設計和應用程序來實現。到目前為止兩種防護功能的相互整合程度還不是很高。在現今不斷發(fā)展的信息技術時代,網絡無處不在,我們的很多信息都是通過網站獲得,所以網站技術就成了項很重要的內容。網頁設計中經常使用的服務器端設計程序主要包括 Active Server Page、 Hypertext reprocessor、 Java Server Pages等腳本語言,正是這些腳本語言為網站開發(fā)提供了平臺。利用ASP、PHP、JSP等腳本語言搭建的網站后臺程序,不論是程序開發(fā)階段,還是程序后期維護階段,對于設計開發(fā)人員來說都非常的高效、便捷,而且實現起來也是比較容易的。一個功能健全而使用安全的網站所涉及到的程序內容有很多,又因網頁設計的特殊性,使得利用表單等功能實現的人機交互更為頻繁,用戶輸入什么信息內容是網頁設計者無法預測的,此時網頁設計中安全隱患就會暴露出來,用戶的輸入內容就有可能對網站造成不同程度的攻擊。在網站設計的過程中,除了上面介紹的幾種安全缺陷以外,還有很多其它的安全缺陷。因此,在建設網站時一定要多多注意網站的安全性,請在完成網站設計功能的基礎上,在一定程度上注意提高網站的安全性。
上一篇:企業(yè)網站設計中常見的安全缺陷有哪些?
下一篇:企業(yè)網站設計流行趨勢