一旦重慶網(wǎng)站建設(shè)中的存在安全缺陷���,就會使得重慶網(wǎng)站設(shè)計的安全性能大大降低����,制約著企業(yè)電子商務(wù)技術(shù)的發(fā)展�����。重慶網(wǎng)站設(shè)計存在的安全缺陷主要有登陸驗證缺陷�����、逃避驗證缺陷�����、桌面數(shù)據(jù)庫被下載的安全缺陷��、文件上傳存在的安全缺陷�����。
1 逃避驗證存在的安全問題
如果用戶知道網(wǎng)頁的文件名或者是路徑�,就會出現(xiàn)逃避驗證現(xiàn)象,使網(wǎng)站的安全性下降�。一旦網(wǎng)頁沒有用戶的登錄限制,用戶在網(wǎng)頁中直接輸入網(wǎng)頁的文件名�,不用進行登錄驗證,就可以讀取網(wǎng)站內(nèi)容���,這對網(wǎng)站的安全是嚴(yán)重的威脅����。所以�����,為了有效避免這個問題����,需要網(wǎng)頁設(shè)計人員加強網(wǎng)頁信息的保密工作,提高網(wǎng)站信息的安全性�����。此外����,對一些重要的網(wǎng)站內(nèi)容加強用戶身份驗證限制�,這樣所有的用戶在登錄相關(guān)頁面時���,都必須進行身份驗證工作�����,驗證通過之后,才能使用里面的相關(guān)信息����,這樣會大大提高站點的數(shù)據(jù)安全性。
2桌面數(shù)據(jù)庫被下載的安全漏洞
桌面數(shù)據(jù)庫被下載的安全漏洞主要是ASP+ Access 應(yīng)用系統(tǒng)中的問題��。通常情況下�����,用戶都可以通過網(wǎng)站下載相關(guān)的信息���,但是如果知道 Access 數(shù)據(jù)庫名稱及存儲路徑�,就可以任意下載數(shù)據(jù)庫中的信息��,從而導(dǎo)致數(shù)據(jù)庫中的機密信息泄露���。比如����,圖書館系統(tǒng)中的 Access 數(shù)據(jù)庫其名稱和存儲路徑一般為 Library.mdb 和 URL/database。此時��,只要在 WEB 瀏覽器的地址欄中鍵入URL/database/Library.mdb���,就 能 將 Library.mdb 數(shù)據(jù)庫下載到本地計算機中���。
所以,為了有效避免上述問題����,在設(shè)計ASP 程序時,數(shù)據(jù)源要盡量使用 ODBC 數(shù)據(jù)源��,這樣數(shù)據(jù)庫名稱就不會被直接寫入程序中����,避免出現(xiàn) ASP 源代碼和數(shù)據(jù)庫名稱一起失密的現(xiàn)象。此外��,還要對頁面進行加密處理���,這樣可以有效提高數(shù)據(jù)庫系統(tǒng)信息的安全性�����,避免數(shù)據(jù)庫內(nèi)部資料被竊取���。ASP 頁面的加密主要有兩種方法 :是����,應(yīng)用組件技術(shù)將編程邏輯封裝在 DLL中 ;二是���,應(yīng)用 Script Encoder 加密 ASP 頁面。通常情況下都會采取第二種方法對ASP 頁面進行加密����,因為使用第一種方法對 ASP 頁面進行加密時,需要將每段代碼組件化��,工作量特別大��,并且操作十分繁瑣����。采用 Script Encoder 方法加密 ASP 頁面時����,其操作比較簡單��,編輯性強��,具有以下四方面的優(yōu)勢 :
(1)HTML 具有良好的可編輯性���,使用Script Encoder 加密 ASP 頁面時���,只需將ASP 代碼嵌入到 HTML 頁面中,故仍可以使用常用網(wǎng)頁編輯工具如 Dream weaver等實現(xiàn) HTML 部分的完善����,但是 ASP 加密部分不能任意更改,否則將會對文件造成破壞����,導(dǎo)致其失效 ;(2) 可以加密當(dāng)前目錄中的所有 ASP 文件,加密后并將其統(tǒng)一輸出指定目錄中 ;(3) 應(yīng)用 Script Encoder加密 ASP 頁面的操作十分簡單����。(4)cript Encoder 加密軟件是免費網(wǎng)件,可以從網(wǎng)站上直接下載,安裝���、注冊驗證即可��。應(yīng)用Script Encoder 對代碼加密��,既簡單方便�,安全性又高�����。隨著 Script Encoder 加密技術(shù)的廣泛應(yīng)用���,DLL 封裝方法的使用越來越少�����,逐步被淘汰。
3 文件上傳存在的安全問題
很多網(wǎng)站都具有文件上傳功能�����,比如學(xué)習(xí)網(wǎng)站�,教師上傳一些學(xué)習(xí)資料等,但是網(wǎng)站的設(shè)計人員在設(shè)計網(wǎng)站時��,沒有設(shè)置過濾參數(shù)過濾功能,導(dǎo)致非法攻擊人員利用這個漏洞上傳一些惡意文件破壞網(wǎng)站的數(shù)據(jù)庫系統(tǒng)或者是執(zhí)行任意命令����。為了解決這個問題,提高文件上傳的安全性����,應(yīng)該在網(wǎng)站系統(tǒng)中添加判斷程序,這樣�,系統(tǒng)在獲得用戶的文件上傳請求之后,先對文件的安全性進行判別�,符合文件上傳的條件,才能完成上傳操作����,這樣可以避免網(wǎng)站中上傳一些非法文件,對系統(tǒng)造成破壞�����。
本文由重慶做網(wǎng)站-重慶網(wǎng)站建設(shè)公司-中技互聯(lián):m.aorustv.com
如沒特殊注明�,文章均為中技互聯(lián)原創(chuàng),轉(zhuǎn)載請注明來自m.aorustv.com
咨詢電話:023-88959644 24小時服務(wù)熱線:400-023-8809
企業(yè)營銷到網(wǎng)站建設(shè)
創(chuàng)意品牌型網(wǎng)站建設(shè)
購物商城型網(wǎng)站建設(shè)
手機微信網(wǎng)站建設(shè)
域名注冊
虛擬主機
企業(yè)郵箱
手機網(wǎng)站
微信商城
微信分銷
O2O電商
企業(yè)營銷
創(chuàng)意品牌
購物商城
手機微信
響應(yīng)式網(wǎng)站
營銷型網(wǎng)站建設(shè)
網(wǎng)站改版
最新簽約
網(wǎng)站優(yōu)化
建站知識
榮譽資質(zhì)
成長歷程
企業(yè)文化
當(dāng)前位置:
023-88959644
在線客服
