http://www.mxio.cn 傳播先進(jìn)設(shè)計(jì)理念 推動原創(chuàng)設(shè)計(jì)發(fā)展 Sat, 23 Apr 2005 11:35:00 +0000 zh-Hans hourly 1 https://wordpress.org/?v=6.9.1 http://www.mxio.cn/867.html http://www.mxio.cn/867.html#respond Sat, 23 Apr 2005 11:35:00 +0000 這個(gè)題目很奇怪，網(wǎng)頁設(shè)計(jì)還要考慮安全的嗎？安全不是系統(tǒng)管理員的事嗎？那你就錯(cuò)了，系統(tǒng)管理員可以讓系統(tǒng)固于金湯，但是如果網(wǎng)頁程序有漏洞，最好的系統(tǒng)管理員也沒有辦法。下面就舉幾個(gè)常見的例子；

1、用戶驗(yàn)證漏洞。

一般程序設(shè)計(jì)者將用戶名和密碼保存在數(shù)據(jù)庫中，驗(yàn)證用戶合法性時(shí)，檢驗(yàn)密碼和用戶名是否對應(yīng)，以此判定用戶是否合法。

一個(gè)典型的用戶驗(yàn)證頁面如下：

此頁源代碼如下：

〈html>
〈head>
〈meta http-equiv=”Content-Language” content=”zh-cn”>  
〈meta http-equiv=”Content-Type” content=”text/html; charset=gb2312″>  
〈meta name=”GENERATOR” content=”Microsoft FrontPage 4.0″>  
〈meta name=”ProgId” content=”FrontPage.Editor.Document”>  

〈/head>
〈body>
〈p align=”center”>　〈/p>　

〈form method=”POST” action=”login.asp”>
〈P align=”center”>
〈center>〈table border=”1″ width=”53%” bordercolor=”#C0C0C0″> 〈tr>
〈td width=”100%” bgcolor=”#C0C0C0″ colspan=”2″>
〈p align=”center”>用戶登錄〈/td>〈/tr>〈tr>  
〈td width=”25%” align=”right”>用戶名：〈/td>

〈td width=”75%”>〈input type=”text” name=”name” size=”20″>〈/td>  
〈/tr>　

〈tr> 〈td width=”25%” align=”right”>密　碼：〈/td>

〈td width=”75%”>〈input type=”password” name=”passwd” size=”20″>〈/td>  
〈/tr>

〈/table>

〈/center>

〈/P>

〈p align=”center”>〈input type=”submit” value=”登 錄” name=”B1″>

〈input type=”reset” value=”重 寫” name=”B2″>〈/p>

〈/form>

〈p align=”center”>　〈/p>

〈/body>

〈/html>


此頁面的數(shù)據(jù)用login.asp處理，其源代碼如下（以下程序有多處漏洞，請勿直接引用）：
〈!–#include file=”conn.inc”–>

〈%Response.Buffer=true%>

〈%

‘取得帳號用戶

zhanghao=trim(request.form(“name”))

mima=trim(request.form(“passwd”))

‘從數(shù)據(jù)庫中取得數(shù)據(jù)

mysql=”select zhanghao,mima,danwei,lev from login where  
zhanghao='”&zhanghao&”‘ and mima='”&mima&”‘”  
zhanghao='”&zhanghao&”‘ and mima='”&mima&”‘”  
‘如果沒有此記錄，跳到登錄錯(cuò)誤頁面  
if rs.eof or rs.bof then  
response.redirect”loginerr.htm”
end if  
‘如果有此記錄，順利登錄  
response.redirect”manage.asp”  
%>  
以上驗(yàn)證方式有很大一部分程序員使用，但是，如果我們構(gòu)造一個(gè)非常特殊的用戶名和密碼（這里不給出），語句：mysql=”select zhanghao,mima,danwei,lev from login where zhanghao='”&zhanghao&”‘ and mima='”&mima&”‘” 中的條件：where zhanghao='”&zhanghao&”‘ and mima='”&mima&”‘ 限制就會毫無用處，一直為真，這樣，非合法用戶也就直接進(jìn)入了敏感區(qū)域。網(wǎng)上有很多這樣設(shè)計(jì)的驗(yàn)證，筆者因?yàn)楣ぷ麝P(guān)系，發(fā)現(xiàn)太多有這種漏洞的驗(yàn)證，甚至一些很有影響的大公司設(shè)計(jì)的程序也是如此。建議讀者檢查自己的程序有無這種漏洞，如果有，請用以下方法解決。
（1）修改程序，改變驗(yàn)證方式；
將SQL語句改為：
select zhanghao,mima,danwei,lev from login where zhanghao='”&zhanghao&”‘
然后執(zhí)行，如果沒有此帳號，直接跳入錯(cuò)誤頁面；如果有此帳號，將此帳號對應(yīng)密碼和用戶提交密碼比較：

if rs(“mima”)=trim(passwd) then
response.redirect”manage245sdv.asp”
這樣就可以有效防止特殊用戶名用戶漏洞的產(chǎn)生；
（2）驗(yàn)證用戶名密碼之前先檢驗(yàn)有無非法字符；
過濾一些敏感字符可以直接防止此漏洞的產(chǎn)生，比如：“&”“/”“”“+”“ ‘ ”等。具體方法在在這里就不詳細(xì)給出了。

2、 連接文件漏洞

ASP網(wǎng)頁程序設(shè)計(jì)的時(shí)候，我們一般將數(shù)據(jù)庫連接方式保存為一個(gè)文件，在需要此連接的網(wǎng)頁中直接應(yīng)用此文件。剛才用戶驗(yàn)證的例子程序就有這樣的連接文件應(yīng)用，讀者會發(fā)現(xiàn)“l(fā)ogin.asp”文件源程序有這樣一句：
〈!–#include file=”conn.inc”–>
其中“conn.inc”是包含數(shù)據(jù)庫連接方式的文件。
這種引用方式給網(wǎng)頁設(shè)計(jì)者很大的方便，然而，如果有心人想窺探你的數(shù)據(jù)連接方式，他就有可能猜出你的連接文件名，然后在瀏覽器直接打入此文件名，如：
http://www.awebsite.com/conn/conn.inc
結(jié)果是此文件被下載，然后你的數(shù)據(jù)庫連接方式直接暴露在別人面前，甚至數(shù)據(jù)庫帳號密碼也泄漏，然后結(jié)果就可想而知。
以上設(shè)計(jì)方式現(xiàn)在仍然有很多設(shè)計(jì)者在使用，希望讀者不要以此實(shí)驗(yàn)！那么，網(wǎng)頁設(shè)計(jì)者怎樣避免以上漏洞？有以下幾種方法：
（1）改變連接文件名
連接文件不一定要是inc文件，也可以是ASP文件，因此，我們可以將conn.inc改名為conn.asp，這樣，瀏覽端就不可以下載此連接文件了；
（2）將連接方式保存在Application中，直接引用；
這種方式對系統(tǒng)資源有一些小小的消耗，但是仍然不失為一種好的選擇；
（3）如果一定要使用inc文件，將此文件取一個(gè)特別復(fù)雜的名字，比如：xxx223773.inc，反正不能讓瀏覽者猜到；
以上方法可以有效防止此類漏洞的發(fā)生，可以依自己習(xí)慣設(shè)定。

3、 驗(yàn)證不全漏洞
還是第一點(diǎn)的驗(yàn)證，經(jīng)驗(yàn)不足的網(wǎng)頁設(shè)計(jì)者在設(shè)計(jì)網(wǎng)頁時(shí)，往往可以考慮到在敏感區(qū)域入口加上用戶驗(yàn)證，但是，對于敏感區(qū)域內(nèi)部的網(wǎng)頁就不再加入驗(yàn)證。這樣的結(jié)果是，如果用戶從網(wǎng)頁設(shè)計(jì)者提供的入口進(jìn)入敏感區(qū)域，就會有驗(yàn)證出現(xiàn)；如果用戶跨過驗(yàn)證入口，直接調(diào)用敏感區(qū)的文件，這個(gè)驗(yàn)證就形于虛設(shè)。這個(gè)毛病不但初學(xué)者有，那些設(shè)計(jì)經(jīng)驗(yàn)很豐富的設(shè)計(jì)者有時(shí)為了簡單，客戶有不會仔細(xì)檢查，干脆也就做個(gè)樣子算了。那么，到底應(yīng)該怎樣使敏感區(qū)的每一個(gè)文件都有驗(yàn)證，不能直接調(diào)閱？有以下方法：那就是給用戶設(shè)計(jì)一個(gè)session，如果用戶的session不為空，證明是合法用戶；反之，直接跳到登錄頁面。以下給出簡單例子。
（1）給每一個(gè)用戶在驗(yàn)證頁面設(shè)計(jì)一個(gè)session；
如上文的login.asp中，在最后一行加入：
〈%session(“zhanghao2764819”)=trim(zhanghao)%>
這樣就給每一個(gè)合法用戶一個(gè)唯一session；
（2）敏感區(qū)的每一個(gè)文件驗(yàn)證其session是否為空，如果為空，跳到登錄頁面要求登錄；可以這樣設(shè)計(jì)：
敏感區(qū)的每一個(gè)文件其都加入：
〈!–#include file=”yanzh.asp”–>
其內(nèi)容如下：

〈%
if session(“zhanghao2764819″)=”” then  
response.redirect”login.htm”  
%>  


這樣就給敏感區(qū)的每一個(gè)頁面加上了驗(yàn)證。

總結(jié)：以上只是網(wǎng)頁設(shè)計(jì)中一些比較典型的安全漏洞，要做到真正的安全網(wǎng)頁設(shè)計(jì)，不但需要長久的經(jīng)驗(yàn)而且需要不斷的開闊視野，了解最新的安全問題。

]]> http://www.mxio.cn/867.html/feed 0 主站蜘蛛池模板： 久久伊人色av天堂九九| 久久精品色妇熟女丰满| 成人免费午夜性大片| 亚洲va成无码人在线观看天堂| 国产乱子经典视频在线观看| 久久久久国产精品人妻aⅴ毛片| 国产精品成人aaaaa网站| 久久亚洲欧美日本精品| 制服国产欧美亚洲日韩| 四虎永久播放地址免费| 国产无遮挡又黄又爽免费网站| 亚洲精品久久久久中文字幕一福利| 欧美肥老太牲交大战| 亚洲精品国产一区黑色丝袜 | 国产亚洲精品自在线| 精品免费国产一区二区| 99热久久最新地址| 92国产精品午夜福利免费| www国产精品内射老师| 亚洲卡一卡二卡三乱草莓| 亚洲 中文 欧美 日韩 在线 | 亚洲精品一区二区三区大桥未久| 一本精品中文字幕在线| 成人午夜特黄aaaaa片男男| 亚洲无人区一区二区三区| 狠狠色噜噜狠狠狠狠av不卡| 国产在热线精品视频99公交| 亚洲成人av在线系列| 精品人妻伦一二三区久久| 伊伊综合在线视频无码| 无码国模国产在线观看免费| 日日碰狠狠添天天爽超碰97久久| 精品国产乱码久久久久久免费| 四虎亚洲中文字幕无码永久| 久久免费精品国产72精品九九| 国产日韩av免费无码一区二区三区 | 欧美亚洲日韩国产人成在线播放| 任你干视频精品播放| 亚洲狠狠爱一区二区三区| 一二三四日本高清社区5| 婷婷综合缴情亚洲|