一旦重慶網(wǎng)站建設(shè)中的存在安全缺陷，就會使得重慶網(wǎng)站設(shè)計(jì)的安全性能大大降低，制約著企業(yè)電子商務(wù)技術(shù)的發(fā)展。重慶網(wǎng)站設(shè)計(jì)存在的安全缺陷主要有登陸驗(yàn)證缺陷、逃避驗(yàn)證缺陷、桌面數(shù)據(jù)庫被下載的安全缺陷、文件上傳存在的安全缺陷。

　　1 逃避驗(yàn)證存在的安全問題

　　如果用戶知道網(wǎng)頁的文件名或者是路徑，就會出現(xiàn)逃避驗(yàn)證現(xiàn)象，使網(wǎng)站的安全性下降。一旦網(wǎng)頁沒有用戶的登錄限制，用戶在網(wǎng)頁中直接輸入網(wǎng)頁的文件名，不用進(jìn)行登錄驗(yàn)證，就可以讀取網(wǎng)站內(nèi)容，這對網(wǎng)站的安全是嚴(yán)重的威脅。所以，為了有效避免這個(gè)問題，需要網(wǎng)頁設(shè)計(jì)人員加強(qiáng)網(wǎng)頁信息的保密工作，提高網(wǎng)站信息的安全性。此外，對一些重要的網(wǎng)站內(nèi)容加強(qiáng)用戶身份驗(yàn)證限制，這樣所有的用戶在登錄相關(guān)頁面時(shí)，都必須進(jìn)行身份驗(yàn)證工作，驗(yàn)證通過之后，才能使用里面的相關(guān)信息，這樣會大大提高站點(diǎn)的數(shù)據(jù)安全性。

　　2桌面數(shù)據(jù)庫被下載的安全漏洞

　　桌面數(shù)據(jù)庫被下載的安全漏洞主要是ASP+ Access 應(yīng)用系統(tǒng)中的問題。通常情況下，用戶都可以通過網(wǎng)站下載相關(guān)的信息，但是如果知道 Access 數(shù)據(jù)庫名稱及存儲路徑，就可以任意下載數(shù)據(jù)庫中的信息，從而導(dǎo)致數(shù)據(jù)庫中的機(jī)密信息泄露。比如，圖書館系統(tǒng)中的 Access 數(shù)據(jù)庫其名稱和存儲路徑一般為 Library.mdb 和 URL/database。此時(shí)，只要在 WEB 瀏覽器的地址欄中鍵入URL/database/Library.mdb，就 能 將 Library.mdb 數(shù)據(jù)庫下載到本地計(jì)算機(jī)中。

　　所以，為了有效避免上述問題，在設(shè)計(jì)ASP 程序時(shí)，數(shù)據(jù)源要盡量使用 ODBC 數(shù)據(jù)源，這樣數(shù)據(jù)庫名稱就不會被直接寫入程序中，避免出現(xiàn) ASP 源代碼和數(shù)據(jù)庫名稱一起失密的現(xiàn)象。此外，還要對頁面進(jìn)行加密處理，這樣可以有效提高數(shù)據(jù)庫系統(tǒng)信息的安全性，避免數(shù)據(jù)庫內(nèi)部資料被竊取。ASP 頁面的加密主要有兩種方法 ：是，應(yīng)用組件技術(shù)將編程邏輯封裝在 DLL中 ;二是，應(yīng)用 Script Encoder 加密 ASP 頁面。通常情況下都會采取第二種方法對ASP 頁面進(jìn)行加密，因?yàn)槭褂玫谝环N方法對 ASP 頁面進(jìn)行加密時(shí)，需要將每段代碼組件化，工作量特別大，并且操作十分繁瑣。采用 Script Encoder 方法加密 ASP 頁面時(shí)，其操作比較簡單，編輯性強(qiáng)，具有以下四方面的優(yōu)勢 ：

　　(1)HTML 具有良好的可編輯性，使用Script Encoder 加密 ASP 頁面時(shí)，只需將ASP 代碼嵌入到 HTML 頁面中，故仍可以使用常用網(wǎng)頁編輯工具如 Dream weaver等實(shí)現(xiàn) HTML 部分的完善，但是 ASP 加密部分不能任意更改，否則將會對文件造成破壞，導(dǎo)致其失效 ;(2) 可以加密當(dāng)前目錄中的所有 ASP 文件，加密后并將其統(tǒng)一輸出指定目錄中 ;(3) 應(yīng)用 Script Encoder加密 ASP 頁面的操作十分簡單。(4)cript Encoder 加密軟件是免費(fèi)網(wǎng)件，可以從網(wǎng)站上直接下載，安裝、注冊驗(yàn)證即可。應(yīng)用Script Encoder 對代碼加密，既簡單方便，安全性又高。隨著 Script Encoder 加密技術(shù)的廣泛應(yīng)用，DLL 封裝方法的使用越來越少，逐步被淘汰。

　　3 文件上傳存在的安全問題

　　很多網(wǎng)站都具有文件上傳功能，比如學(xué)習(xí)網(wǎng)站，教師上傳一些學(xué)習(xí)資料等，但是網(wǎng)站的設(shè)計(jì)人員在設(shè)計(jì)網(wǎng)站時(shí)，沒有設(shè)置過濾參數(shù)過濾功能，導(dǎo)致非法攻擊人員利用這個(gè)漏洞上傳一些惡意文件破壞網(wǎng)站的數(shù)據(jù)庫系統(tǒng)或者是執(zhí)行任意命令。為了解決這個(gè)問題，提高文件上傳的安全性，應(yīng)該在網(wǎng)站系統(tǒng)中添加判斷程序，這樣，系統(tǒng)在獲得用戶的文件上傳請求之后，先對文件的安全性進(jìn)行判別，符合文件上傳的條件，才能完成上傳操作，這樣可以避免網(wǎng)站中上傳一些非法文件，對系統(tǒng)造成破壞。

　　本文由重慶做網(wǎng)站-重慶網(wǎng)站建設(shè)公司-中技互聯(lián)：www.tmsmall666.cn