日本免费全黄少妇一区二区三区-高清无码一区二区三区四区-欧美中文字幕日韩在线观看-国产福利诱惑在线网站-国产中文字幕一区在线-亚洲欧美精品日韩一区-久久国产精品国产精品国产-国产精久久久久久一区二区三区-欧美亚洲国产精品久久久久

  1. 首頁 > 云知道 > >

如何規(guī)劃安全分析中網(wǎng)頁設(shè)計?( 二 )

云知道安全漏洞



2.3繞過驗證直接進(jìn)入相關(guān)頁面的漏洞及解決方案在進(jìn)入某些敏感頁面前,系統(tǒng)首先會對用戶進(jìn)行身份驗證,如果用戶知道了與敏感頁面相關(guān)的網(wǎng)頁設(shè)計頁面的路徑及文件名,并且該頁面又沒有設(shè)置驗證程序,此時用戶只要輸入該設(shè)計頁面的文件名就可以進(jìn)入設(shè)計頁面,成功繞過登陸驗證界面的篩選 。為提高網(wǎng)站安全性能,開發(fā)設(shè)計人員必須對與之相關(guān)的頁面設(shè)置身份驗證程序,對用戶進(jìn)行身份驗證 。

2.4文件上傳漏洞及解決方案同學(xué)錄、交友網(wǎng)站等類似網(wǎng)站系統(tǒng)都有文件上傳功能,企業(yè)通過網(wǎng)站文件上傳可以進(jìn)一步增進(jìn)與用戶間的交流互動,但網(wǎng)站開發(fā)者對用戶所提交的信息缺乏充分的分析和必要的過濾,很多惡意攻擊者會利用這一漏洞在網(wǎng)站上上傳病毒文件、惡意文件等不良信息,這些有毒文件可能會對系統(tǒng)數(shù)據(jù)庫造成不同程度的損壞,某些網(wǎng)站攻擊者甚至以Web權(quán)限在系統(tǒng)上執(zhí)行任意命令 。通過加入文件類型判斷模塊可以有效解決文件上傳漏洞,對用戶上傳文件進(jìn)行充分的分析和必要的過濾 。當(dāng)系統(tǒng)要求用戶上傳圖片文件,用戶只能以系統(tǒng)指定的JPG、GIF文件格式才被允許上傳,像*.PHP、*.ASP、*.JSP、*.EXE等格式的程序文件是不被允許上傳的 。

2.5源代碼泄露漏洞及解決方案為有效避免源代碼被竊取、遭泄露的威脅,開發(fā)者在網(wǎng)站設(shè)計過程中應(yīng)該對頁面代碼進(jìn)行加密處理,使網(wǎng)站的整體安全性能得到大幅度提高 。ASP網(wǎng)頁加密方法一般包括以下兩種:通過采用微軟的ScriptEncoder對ASP網(wǎng)站頁面進(jìn)行加密;通過采用組件技術(shù)將編程邏輯封裝到DLL當(dāng)中,防止信息的丟失 。當(dāng)采用組件技術(shù)方案時必須對每段代碼均需組件化,該項方案的工作量較大、操作較為煩瑣,與之相比ScriptEncoder加密方案具有成效佳、操作簡單等顯著優(yōu)點,將其用于解決源代碼泄露漏洞問題可以取得較好的效果,其優(yōu)點主要有:HTML具有較好的可編輯性,系統(tǒng)其他部分無需變化,ScriptEncoder只加密在HTML頁面中嵌入的ASP代碼,通過采用Dreamweaver或FrontPage等常用網(wǎng)頁編輯工具對HTML部分進(jìn)行修改、完善;ScriptEncoder具有制作簡單的優(yōu)點,通過幾個簡單命令行參數(shù)即可完成多功能操作 。

3總結(jié)

通過本文中列出的相關(guān)的安全解決方法,在網(wǎng)站的建設(shè)中充分考慮網(wǎng)絡(luò)的安全性,有效的降低了網(wǎng)絡(luò)系統(tǒng)的安全漏洞,加強了網(wǎng)絡(luò)的安全性 。

推薦閱讀