咨询QQ:865885740    邮箱:support@ccqyj.com咨询热线:158 2330 1928
信息中心 / news
当前位置: 首页 > 信息中心 > 网站建设 >

重庆网站建设中安全缺陷及相关解决对策

日期: 2015-03-05来源: 重庆网站建设[www.ccqyj.com]关键字: 重庆 对策 缺陷    阅读量:
一旦重庆网站建设中的存在安全缺陷,就会使得重庆网站设计的安全性能大大降低,制约着企业电子商务技术的发展。重庆网站设计存在的安全缺陷主要有登陆验证缺陷、逃避验证缺陷、桌面数据库被下载的安全缺陷、文件上传存在的安全缺陷。

1 逃避验证存在的安全问题

如果用户知道网页的文件名或者是路径,就会出现逃避验证现象,使网站的安全性下降。一旦网页没有用户的登录限制,用户在网页中直接输入网页的文件名,不用进行登录验证,就可以读取网站内容,这对网站的安全是严重的威胁。所以,为了有效避免这个问题,需要网页设计人员加强网页信息的保密工作,提高网站信息的安全性。此外,对一些重要的网站内容加强用户身份验证限制,这样所有的用户在登录相关页面时,都必须进行身份验证工作,验证通过之后,才能使用里面的相关信息,这样会大大提高站点的数据安全性。

2桌面数据库被下载的安全漏洞

桌面数据库被下载的安全漏洞主要是ASP+ Access 应用系统中的问题。通常情况下,用户都可以通过网站下载相关的信息,但是如果知道 Access 数据库名称及存储路径,就可以任意下载数据库中的信息,从而导致数据库中的机密信息泄露。比如,图书馆系统中的 Access 数据库其名称和存储路径一般为 Library.mdb 和 URL/database。此时,只要在 WEB 浏览器的地址栏中键入URL/database/Library.mdb,就 能 将 Library.mdb 数据库下载到本地计算机中。

所以,为了有效避免上述问题,在设计ASP 程序时,数据源要尽量使用 ODBC 数据源,这样数据库名称就不会被直接写入程序中,避免出现 ASP 源代码和数据库名称一起失密的现象。此外,还要对页面进行加密处理,这样可以有效提高数据库系统信息的安全性,避免数据库内部资料被窃取。ASP 页面的加密主要有两种方法 :是,应用组件技术将编程逻辑封装在 DLL中 ;二是,应用 Script Encoder 加密 ASP 页面。通常情况下都会采取第二种方法对ASP 页面进行加密,因为使用第一种方法对 ASP 页面进行加密时,需要将每段代码组件化,工作量特别大,并且操作十分繁琐。采用 Script Encoder 方法加密 ASP 页面时,其操作比较简单,编辑性强,具有以下四方面的优势 :

(1)HTML 具有良好的可编辑性,使用Script Encoder 加密 ASP 页面时,只需将ASP 代码嵌入到 HTML 页面中,故仍可以使用常用网页编辑工具如 Dream weaver等实现 HTML 部分的完善,但是 ASP 加密部分不能任意更改,否则将会对文件造成破坏,导致其失效 ;(2) 可以加密当前目录中的所有 ASP 文件,加密后并将其统一输出指定目录中 ;(3) 应用 Script Encoder加密 ASP 页面的操作十分简单。(4)cript Encoder 加密软件是免费网件,可以从网站上直接下载,安装、注册验证即可。应用Script Encoder 对代码加密,既简单方便,安全性又高。随着 Script Encoder 加密技术的广泛应用,DLL 封装方法的使用越来越少,逐步被淘汰。

3 文件上传存在的安全问题
很多网站都具有文件上传功能,比如学习网站,教师上传一些学习资料等,但是网站的设计人员在设计网站时,没有设置过滤参数过滤功能,导致非法攻击人员利用这个漏洞上传一些恶意文件破坏网站的数据库系统或者是执行任意命令。为了解决这个问题,提高文件上传的安全性,应该在网站系统中添加判断程序,这样,系统在获得用户的文件上传请求之后,先对文件的安全性进行判别,符合文件上传的条件,才能完成上传操作,这样可以避免网站中上传一些非法文件,对系统造成破坏。

本文由重庆易加网络 www.ccqyj.com原创提供,转载请注明来源。