一旦重慶網(wǎng)站建設(shè)中的存在安全缺陷，就會(huì)使得重慶網(wǎng)站設(shè)計(jì)的安全性能大大降低，制約著企業(yè)電子商務(wù)技術(shù)的發(fā)展。重慶網(wǎng)站設(shè)計(jì)存在的安全缺陷主要有登陸驗(yàn)證缺陷、逃避驗(yàn)證缺陷、桌面數(shù)據(jù)庫(kù)被下載的安全缺陷、文件上傳存在的安全缺陷。

　　1 逃避驗(yàn)證存在的安全問(wèn)題

　　如果用戶(hù)知道網(wǎng)頁(yè)的文件名或者是路徑，就會(huì)出現(xiàn)逃避驗(yàn)證現(xiàn)象，使網(wǎng)站的安全性下降。一旦網(wǎng)頁(yè)沒(méi)有用戶(hù)的登錄限制，用戶(hù)在網(wǎng)頁(yè)中直接輸入網(wǎng)頁(yè)的文件名，不用進(jìn)行登錄驗(yàn)證，就可以讀取網(wǎng)站內(nèi)容，這對(duì)網(wǎng)站的安全是嚴(yán)重的威脅。所以，為了有效避免這個(gè)問(wèn)題，需要網(wǎng)頁(yè)設(shè)計(jì)人員加強(qiáng)網(wǎng)頁(yè)信息的保密工作，提高網(wǎng)站信息的安全性。此外，對(duì)一些重要的網(wǎng)站內(nèi)容加強(qiáng)用戶(hù)身份驗(yàn)證限制，這樣所有的用戶(hù)在登錄相關(guān)頁(yè)面時(shí)，都必須進(jìn)行身份驗(yàn)證工作，驗(yàn)證通過(guò)之后，才能使用里面的相關(guān)信息，這樣會(huì)大大提高站點(diǎn)的數(shù)據(jù)安全性。

　　2桌面數(shù)據(jù)庫(kù)被下載的安全漏洞

　　桌面數(shù)據(jù)庫(kù)被下載的安全漏洞主要是ASP+ Access 應(yīng)用系統(tǒng)中的問(wèn)題。通常情況下，用戶(hù)都可以通過(guò)網(wǎng)站下載相關(guān)的信息，但是如果知道 Access 數(shù)據(jù)庫(kù)名稱(chēng)及存儲(chǔ)路徑，就可以任意下載數(shù)據(jù)庫(kù)中的信息，從而導(dǎo)致數(shù)據(jù)庫(kù)中的機(jī)密信息泄露。比如，圖書(shū)館系統(tǒng)中的 Access 數(shù)據(jù)庫(kù)其名稱(chēng)和存儲(chǔ)路徑一般為 Library.mdb 和 URL/database。此時(shí)，只要在 WEB 瀏覽器的地址欄中鍵入URL/database/Library.mdb，就 能 將 Library.mdb 數(shù)據(jù)庫(kù)下載到本地計(jì)算機(jī)中。

　　所以，為了有效避免上述問(wèn)題，在設(shè)計(jì)ASP 程序時(shí)，數(shù)據(jù)源要盡量使用 ODBC 數(shù)據(jù)源，這樣數(shù)據(jù)庫(kù)名稱(chēng)就不會(huì)被直接寫(xiě)入程序中，避免出現(xiàn) ASP 源代碼和數(shù)據(jù)庫(kù)名稱(chēng)一起失密的現(xiàn)象。此外，還要對(duì)頁(yè)面進(jìn)行加密處理，這樣可以有效提高數(shù)據(jù)庫(kù)系統(tǒng)信息的安全性，避免數(shù)據(jù)庫(kù)內(nèi)部資料被竊取。ASP 頁(yè)面的加密主要有兩種方法 ：是，應(yīng)用組件技術(shù)將編程邏輯封裝在 DLL中 ;二是，應(yīng)用 Script Encoder 加密 ASP 頁(yè)面。通常情況下都會(huì)采取第二種方法對(duì)ASP 頁(yè)面進(jìn)行加密，因?yàn)槭褂玫谝环N方法對(duì) ASP 頁(yè)面進(jìn)行加密時(shí)，需要將每段代碼組件化，工作量特別大，并且操作十分繁瑣。采用 Script Encoder 方法加密 ASP 頁(yè)面時(shí)，其操作比較簡(jiǎn)單，編輯性強(qiáng)，具有以下四方面的優(yōu)勢(shì) ：

　　(1)HTML 具有良好的可編輯性，使用Script Encoder 加密 ASP 頁(yè)面時(shí)，只需將ASP 代碼嵌入到 HTML 頁(yè)面中，故仍可以使用常用網(wǎng)頁(yè)編輯工具如 Dream weaver等實(shí)現(xiàn) HTML 部分的完善，但是 ASP 加密部分不能任意更改，否則將會(huì)對(duì)文件造成破壞，導(dǎo)致其失效 ;(2) 可以加密當(dāng)前目錄中的所有 ASP 文件，加密后并將其統(tǒng)一輸出指定目錄中 ;(3) 應(yīng)用 Script Encoder加密 ASP 頁(yè)面的操作十分簡(jiǎn)單。(4)cript Encoder 加密軟件是免費(fèi)網(wǎng)件，可以從網(wǎng)站上直接下載，安裝、注冊(cè)驗(yàn)證即可。應(yīng)用Script Encoder 對(duì)代碼加密，既簡(jiǎn)單方便，安全性又高。隨著 Script Encoder 加密技術(shù)的廣泛應(yīng)用，DLL 封裝方法的使用越來(lái)越少，逐步被淘汰。

　　3 文件上傳存在的安全問(wèn)題

　　很多網(wǎng)站都具有文件上傳功能，比如學(xué)習(xí)網(wǎng)站，教師上傳一些學(xué)習(xí)資料等，但是網(wǎng)站的設(shè)計(jì)人員在設(shè)計(jì)網(wǎng)站時(shí)，沒(méi)有設(shè)置過(guò)濾參數(shù)過(guò)濾功能，導(dǎo)致非法攻擊人員利用這個(gè)漏洞上傳一些惡意文件破壞網(wǎng)站的數(shù)據(jù)庫(kù)系統(tǒng)或者是執(zhí)行任意命令。為了解決這個(gè)問(wèn)題，提高文件上傳的安全性，應(yīng)該在網(wǎng)站系統(tǒng)中添加判斷程序，這樣，系統(tǒng)在獲得用戶(hù)的文件上傳請(qǐng)求之后，先對(duì)文件的安全性進(jìn)行判別，符合文件上傳的條件，才能完成上傳操作，這樣可以避免網(wǎng)站中上傳一些非法文件，對(duì)系統(tǒng)造成破壞。

　　本文由重慶網(wǎng)站建設(shè)-中技互聯(lián)：www.tmsmall666.cn