網(wǎng)頁制作與電子商務(wù)網(wǎng)站安全

1、<p>　　網(wǎng)頁制作與電子商務(wù)網(wǎng)站安全</p><p>　　[摘 要] 網(wǎng)頁制作是目前比較流行的一種行業(yè)，它已經(jīng)滲透到社會的各個角落，而電子商務(wù)網(wǎng)站中網(wǎng)頁制作技術(shù)應(yīng)用的最多，本文主要從電子商務(wù)網(wǎng)站的安全隱患、網(wǎng)站安全現(xiàn)狀、網(wǎng)站安全的措施與解決方案、電子商務(wù)發(fā)展等方面進(jìn)行探討，尤其對于網(wǎng)站安全的考慮，在編寫網(wǎng)頁代碼時，應(yīng)注意的一些防范方法的介紹，以促進(jìn)人們對網(wǎng)頁制作中的安全防范技術(shù)的了解。 </p&

2、gt;<p>　　[關(guān)鍵詞] 網(wǎng)站 安全 腳本 數(shù)據(jù)庫 交互 </p><p><b>　　一、引言 </b></p><p>　　Internet已滲透到了社會的各個領(lǐng)域，不僅影響著我們的學(xué)習(xí)和工作，在Internet的發(fā)展中，WWW的發(fā)明和迅速推廣應(yīng)用是一個重要的里程碑。網(wǎng)頁設(shè)計作為一門新興的技術(shù)，是介于平面設(shè)計、編程技術(shù)兩者之間的一門學(xué)科，它還涉及

3、到美學(xué)心理、平面構(gòu)成、色彩搭配等平面設(shè)計方面的知識。只有綜合運(yùn)用多種知識，才能設(shè)計出視聽特效、動靜結(jié)合、人機(jī)交互的WEB頁面。 </p><p>　　電子商務(wù)網(wǎng)站是一個非常豐富和方便的系統(tǒng)，很多是過去無法想像的，隨著今天的社會的發(fā)展以及科學(xué)技術(shù)的發(fā)展，現(xiàn)在都可以想像得到。由此可以想像到未來的網(wǎng)頁設(shè)計，那時候網(wǎng)頁設(shè)計的要求是什么呢？怎樣才能適應(yīng)電子商務(wù)的發(fā)展呢？我有以下幾點(diǎn)想法:網(wǎng)頁能具有人性化;網(wǎng)頁要具有相當(dāng)?shù)拿?/p>

4、感;網(wǎng)頁更加強(qiáng)調(diào)交互性。 </p><p>　　二、電子商務(wù)網(wǎng)站的安全現(xiàn)狀 </p><p>　　電子商務(wù)網(wǎng)站安全主要涉及網(wǎng)絡(luò)信息的安全和網(wǎng)絡(luò)系統(tǒng)本身的安全。電子商務(wù)網(wǎng)站安全的隱患主要來自操作系統(tǒng)、網(wǎng)絡(luò)和數(shù)據(jù)庫的脆弱性以及安全管理上的疏忽。電子商務(wù)網(wǎng)站安全從本質(zhì)上講就是網(wǎng)絡(luò)上信息的安全，包括靜態(tài)信息的存儲安全和信息的傳輸安全。從廣義上講，凡是涉及到網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實(shí)性

5、和可控性的相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)安全的研究領(lǐng)域。因此為了保證網(wǎng)絡(luò)的安全，必須保證以下四個方面的安全： 運(yùn)行系統(tǒng)的安全； </p><p>　　網(wǎng)絡(luò)上系統(tǒng)信息的安全； 網(wǎng)絡(luò)上信息傳播安全； 網(wǎng)絡(luò)上信息內(nèi)容的安全。 </p><p>　　以下是對目前國內(nèi)電子商務(wù)站點(diǎn)普遍存在的幾個嚴(yán)重的安全問題的一些分析。 </p><p>　　1.客戶端數(shù)據(jù)的完整性和有效性檢查 <

6、;/p><p>　　(1)特殊字符的過濾 </p><p>　　在 W3C 的 WWW Security FAQ 中關(guān)于CGI安全編程一節(jié)里列出了建議過濾的字符：&amp;;“”\“|*?-＜＞^()[]{}\n\r，這些字符由于在不同的系統(tǒng)或運(yùn)行環(huán)境中會具有特殊意義，如變量定義/賦值/取值、非顯示字符、運(yùn)行外部程序等，而被列為危險字符。 </p><p>　　

7、①CGI和Script編程語言的問題 </p><p>　　在幾種國內(nèi)常見的WEB編程語言中，ASP和Cold Fusion 腳本語言對特殊字符的過濾機(jī)制不夠完善，例如沒有對單引號做任何處理等。Perl和php對特殊字符的過濾則較為嚴(yán)密，如忽略或加上“\”（取消特殊字符含義）處理。C語言編寫的cgi程序?qū)μ厥庾址倪^濾完全依賴于程序員的知識和技術(shù)，因此也可能存在安全問題。 </p><p>

8、;　?、贛icrosoft ASP腳本 </p><p>　　普遍存在的問題是程序員在編寫ASP腳本時,缺少或沒有對客戶端輸入的數(shù)據(jù)/變量進(jìn)行嚴(yán)格的合法性分析。因此,如果攻擊者輸入某些特定sql語句,可能造成數(shù)據(jù)庫資料丟失/泄漏/甚至威脅整個站點(diǎn)的安全。比如攻擊者可以任意創(chuàng)建或者刪除表（如果可以猜測出已存在的表名），清除或者更改數(shù)據(jù)庫數(shù)據(jù)。攻擊者也可能通過執(zhí)行一些儲存過程函數(shù),將sql語句的輸出結(jié)果通過電子郵件發(fā)

9、送給自己，或者執(zhí)行系統(tǒng)命令。 </p><p>　?、跴HP和Perl </p><p>　　雖然提供了加上”\”（取消特殊字符含義）處理的手段，但是處理一些數(shù)據(jù)庫時依然可以被改寫。對于MySQL則沒有問題，\’不會與前面的單引號封閉，而當(dāng)作一個合法的字符處理。針對oracle和informix等數(shù)據(jù)庫暫時未進(jìn)行相關(guān)測試。 </p><p>　　另外，對于PHP或者

10、Perl語言，很多程序?qū)τ跀?shù)字類型的輸入變量，沒有加單引號予以保護(hù)，攻擊者就有可能在這種變量中加入額外的SQL語句，來攻擊數(shù)據(jù)庫或者獲得非法控制權(quán)限。 </p><p><b>　　(2)數(shù)據(jù)庫問題 </b></p><p>　　不同的數(shù)據(jù)庫對安全機(jī)制的不同認(rèn)識和實(shí)現(xiàn)方法，使它們的安全性也有所不同。最常見的問題是利用數(shù)據(jù)庫對某些字符的不正確解釋，改寫被執(zhí)行的SQL語句

11、，從而非法獲得訪問權(quán)限。 </p><p>　　2.大量數(shù)據(jù)查詢導(dǎo)致拒絕服務(wù) </p><p>　　許多網(wǎng)站對用戶輸入內(nèi)容的判斷在前臺，用JavaScript判斷，如果用戶繞過前臺判斷，就能對數(shù)據(jù)庫進(jìn)行全查詢，如果數(shù)據(jù)庫比較龐大，會耗費(fèi)大量系統(tǒng)資源，如果同時進(jìn)行大量的這種查詢操作，就會有Denial of Service（DoS —— 拒絕服務(wù)）同樣的效果。 </p><

12、;p>　　三、措施與解決方案 </p><p>　　通過查閱一些資料，下面介紹一些網(wǎng)頁制作中安全防范的方法，以供大家參考。 </p><p><b>　　1.防范腳本攻擊 </b></p><p>　　(1)JS腳本和HTML腳本攻擊的防范其實(shí)很簡單，只要用server.HTMLEncode（Str）就可以了。當(dāng)然全以＜%=uid%＞過濾

13、，為了方便的過濾，只需要將HTML腳本和JS腳本中的幾個關(guān)鍵字符過濾掉就可以了，如下代碼所示： </p><p>　　以下是過濾函數(shù)CHK() </p><p><b>　　＜% </b></p><p>　　function CHK(fqyString) </p><p>　　fqyString = replace(f

14、qyString, “＞”, “＞”) </p><p>　　fqyString = replace(fqyString, “＜”, ”＜“) </p><p>　　fqyString = replace(fqyString, “&amp;#”, “&amp;”) </p><p>　　fqyString = Replace(fqyString, C

15、HR(32), “ ”) </p><p>　　fqyString = Replace(fqyString, CHR(9), “ ”) </p><p>　　fqyString = Replace(fqyString, CHR(34), “”“) </p><p>　　fqyString = Replace(fqyString, CHR(39), ”‘“) <

16、/p><p>　　fqyString = Replace(fqyString, CHR(13), ”“) </p><p>　　fqyString = Replace(fqyString, CHR(10) &amp; CHR(10), ”＜/P＞＜P＞ “) </p><p>　　fqyString = Replace(fqyString, CHR(10), ”

17、＜BR＞ “) </p><p>　　CHK = fqyString </p><p>　　end function </p><p><b>　　%＞ </b></p><p>　　(2)很多站點(diǎn)在用戶注冊，或者是用戶資料修改的頁面上也缺少腳本的過濾，或者是只在其中之一進(jìn)行過濾，注冊進(jìn)入后修改資料仍然可以進(jìn)行腳本攻擊。

18、對用戶提交的數(shù)據(jù)進(jìn)行檢測和過濾如以下代碼： </p><p>　　If Instr(request(”username“),”=“)＞0 or </p><p>　　Instr(request(”username“),”%“)＞0 or </p><p>　　Instr(request(”username“),chr(32))＞0 or </p>&l

19、t;p>　　Instr(request(”username“),”?“)＞0 or </p><p><b>　　…… </b></p><p>　　Instr(request(”username“),”＞“)＞0 or </p><p>　　Instr(request(”username“),”＜“)＞0 or </p>

20、<p>　　Instr(request(”username“),”“”“)＞0 then </p><p>　　response.write ”朋友，你的提交用戶名含有非法字符，請更改，謝謝合作 ＜a href=’****:window.history.go(-1);‘＞返回＜/a＞“ </p><p>　　response.end </p><p>&l

21、t;b>　　end if </b></p><p>　　2.防范sql injeciton攻擊 </p><p>　　從最一般的.SQL Injection 漏洞攻擊來看，主要在用戶名和密碼上的過濾問題，提交：用戶名為：‘or’‘=’ 用戶密碼為：‘or’‘=’從程序出發(fā)，數(shù)據(jù)庫在執(zhí)行以下操作Sql=“ SELECT * FROM lUsers WHERE Usernam

22、e=”or“=” and Password = “or”=“”時，SQL 服務(wù)器將返回lUsers表格中的所有記錄，而ASP腳本將會因此而誤認(rèn)為攻擊者的輸入符 lUsers表格中的第一條記錄，從而允許攻擊者以該用戶的名義登入網(wǎng)站。對此類注入的防范可以利用以下代碼就可以實(shí)現(xiàn)strUsername = Replace(Request.Form(“Username”), “‘’”, “‘’‘”) </p><p>　　

23、strPassword = Replace(Request.Form(“Password”), “’‘”, “’‘’‘”) </p><p>　　3.防止ASP木馬 </p><p>　　防止ASP木馬被上傳到服務(wù)器的方法很簡單，如果你的論壇支持文件上傳，請設(shè)定好你要上傳的文件格式，我不贊成使用可更改的文件格式，直接從程序上鎖定，只有圖象文件格式和壓縮文件就完全可以，因?yàn)槎嘟o自己留點(diǎn)方便也

24、就多給攻擊者留點(diǎn)方便。怎么判斷格式，如下面代碼所示： </p><p>　　判斷文件類型是否合格 </p><p>　　Private Function CheckFileExt (fileEXT) </p><p>　　dim Forumupload </p><p>　　Forumupload=”gif,jpg,bmp,jpeg“ <

25、;/p><p>　　Forumupload=split(Forumupload,”,“) </p><p>　　for i=0 to ubound(Forumupload) </p><p>　　if lcase(fileEXT)=lcase(trim(Forumupload(i))) then </p><p>　　CheckFileExt=t

26、rue </p><p>　　exit Function </p><p><b>　　else </b></p><p>　　CheckFileExt=false </p><p><b>　　end if </b></p><p><b>　　next <

27、/b></p><p>　　End Function </p><p>　　上述介紹的一些安全防范的方法在編寫網(wǎng)頁代碼時被常用到，這些代碼還是較為基本的一些代碼，但能有效的防止一些黑客的攻擊，當(dāng)然加入了這些代碼可能會降低程序的使用效率。做為一名網(wǎng)站的管理人員或網(wǎng)頁制作人員在進(jìn)行網(wǎng)頁制作和網(wǎng)站維護(hù)時應(yīng)加強(qiáng)安全防范的意識，確保在網(wǎng)絡(luò)上進(jìn)行數(shù)據(jù)傳輸?shù)目煽啃浴?</p><

28、;p>　　總之，隨著網(wǎng)頁制作的技術(shù)不斷的發(fā)展和提高，對電子商務(wù)的發(fā)展有著不可估量的推進(jìn)作用，對于網(wǎng)站的安全防范已經(jīng)成為目前發(fā)展電子商務(wù)最需考慮的一個問題之一，在開發(fā)網(wǎng)站中應(yīng)注意在網(wǎng)絡(luò)安全方面的考慮。目前如JSP、ASP、PHP、XML等一些網(wǎng)站新技術(shù)融入網(wǎng)頁制作中，進(jìn)一步提高了網(wǎng)頁的性能。隨著新的技術(shù)的推出，我相信網(wǎng)頁制作的發(fā)展會把我們帶入一嶄新的信息世界。 </p><p><b>　　參考文獻(xiàn)