网页安全论文篇1

一旦网页设计中的存在安全缺陷，就会使得网站的安全性能大大降低，制约着企业电子商务技术的发展。网页设计存在的安全缺陷主要有登陆验证缺陷、逃避验证缺陷、桌面数据库被下载的安全缺陷、文件上传存在的安全缺陷。

2.1登陆验证存在的安全问题用户在使用网站内部的信息时，一定要进行登录，所以用户要在该网站注册设置自己的用户名和登录密码。用户在网站上进行注册一方面方便企业对用户信息进行高效管理，开展相关的工作活动。另一方面，个人设置登录名和密码也利于个人信息的保密，维护自己的利益。提高网站安全性的方式很多，用户登录的验证和确认是其中的一种安全方式，只有确保网站的使用者都是合法的，才能进一步确保网站信息的安全。但是当前很多网站设计人员对用户登录的安全设置不够重视，忽视验证部分，没有考虑到登录验证的重要性，导致登录验证程序的稳定性偏低，从而使黑客等不法分子乘机入侵，威胁网站的安全，造成数据信息泄露，造成巨大的损失。这种登录安全缺陷主要是因为网站开发人员设计的验证程序不够严密，造成脚本语言编写程序在验证用户账号密码时出现问题。网站用户登录验证流程图如图1所示。用户在网站上登录，需要进行相关的验证，这时需要网站开发人员在数据库的user数据表中编写相关的程序，用户登录时，以username代表输入的账号，以password代表输入的登录密码。当用户输入用户名和密码时，系统会在数据库系统中进行搜索，如果用户的信息是正确的、合法的，就能搜索到相关信息，系统就会允许用户使用网站的相关信息，反之，如果登录信息是错误的、不合法的，用户就不能实现网站的访问。首先设定注册限制，不是所有人都可以在网站上进行注册，这样可以有效避免非法用户在网站上面注册，从而有效降低非法攻击的发生机率。然后，进行SQL登陆查询时，先设置用户信息过滤程序，过滤掉非法的用户和密码。最后，在验证用户时，先验证用户名，用户名合法再验证密码。这样就可以有效提高用户登录的安全性，解决当中存在的问题。

2.2逃避验证存在的安全问题如果用户知道网页的文件名或者是路径，就会出现逃避验证现象，使网站的安全性下降。一旦网页没有用户的登录限制，用户在网页中直接输入网页的文件名，不用进行登录验证，就可以读取网站内容，这对网站的安全是严重的威胁。所以，为了有效避免这个问题，需要网页设计人员加强网页信息的保密工作，提高网站信息的安全性。此外，对一些重要的网站内容加强用户身份验证限制，这样所有的用户在登录相关页面时，都必须进行身份验证工作，验证通过之后，才能使用里面的相关信息，这样会大大提高站点的数据安全性。

2.3桌面数据库被下载的安全漏洞桌面数据库被下载的安全漏洞主要是ASP+Access应用系统中的问题。通常情况下，用户都可以通过网站下载相关的信息，但是如果知道Access数据库名称及存储路径，就可以任意下载数据库中的信息，从而导致数据库中的机密信息泄露。比如，图书馆系统中的Access数据库其名称和存储路径一般为Library.mdb和URL/database。此时，只要在WEB浏览器的地址栏中键入URL/database/Library.mdb，就能将Library.mdb数据库下载到本地计算机中。所以，为了有效避免上述问题，在设计ASP程序时，数据源要尽量使用ODBC数据源，这样数据库名称就不会被直接写入程序中，避免出现ASP源代码和数据库名称一起失密的现象。此外，还要对页面进行加密处理，这样可以有效提高数据库系统信息的安全性，避免数据库内部资料被窃取。ASP页面的加密主要有两种方法：一是，应用组件技术将编程逻辑封装在DLL中；二是，应用ScriptEncoder加密ASP页面。通常情况下都会采取第二种方法对ASP页面进行加密，因为使用第一种方法对ASP页面进行加密时，需要将每段代码组件化，工作量特别大，并且操作十分繁琐。采用ScriptEncoder方法加密ASP页面时，其操作比较简单，编辑性强，具有以下四方面的优势：(1)HTML具有良好的可编辑性，使用ScriptEncoder加密ASP页面时，只需将ASP代码嵌入到HTML页面中，故仍可以使用常用网页编辑工具如Dreamweaver等实现HTML部分的完善，但是ASP加密部分不能任意更改，否则将会对文件造成破坏，导致其失效；(2)可以加密当前目录中的所有ASP文件，加密后并将其统一输出指定目录中；(3)应用ScriptEncoder加密ASP页面的操作十分简单。(4)criptEncoder加密软件是免费网件，可以从网站上直接下载，安装、注册验证即可。应用ScriptEncoder对代码加密，既简单方便，安全性又高。随着ScriptEncoder加密技术的广泛应用，DLL封装方法的使用越来越少，逐步被淘汰。

2.4文件上传存在的安全问题很多网站都具有文件上传功能，比如学习网站，教师上传一些学习资料等，但是网站的设计人员在设计网站时，没有设置过滤参数过滤功能，导致非法攻击人员利用这个漏洞上传一些恶意文件破坏网站的数据库系统或者是执行任意命令。为了解决这个问题，提高文件上传的安全性，应该在网站系统中添加判断程序，这样，系统在获得用户的文件上传请求之后，先对文件的安全性进行判别，符合文件上传的条件，才能完成上传操作，这样可以避免网站中上传一些非法文件，对系统造成破坏。

网页安全论文篇2

网页设计中常用的服务器端网页设计技术包括ASP、PHP或JSP等脚本语言，这些网页技术为网站的技术开发人员提供了便利。在网页的开发设计中，设计人员使用上面的脚本语言可以高效的管理现有的网站资源，加强了浏览者和网站的交互。在交互之间，漏洞就在慢慢的形成，这主要是因为浏览者在输入信息时的不可确定性，如果程序考虑的不周全，用户输入的信息就有可能成为对网页的攻击，无论这些信息是否是有意的还是无意的。网页的编程与服务器直接打交道，它和系统的相关设置、网站数据库设置等有关，若程序设计之中存在漏洞，那么也称之为网站漏洞。

3网页设计中存在的漏洞

3.1在登陆验证中存在的漏洞像人们常常使用的论坛、会员区、聊天室等带有交互性的网站，登陆验证是必须完成的部分，虽然登陆验证只是整个网站运行中的一小部分，但却是整个网站的安全之口。网络设计者在设计时很容易疏忽这个关口的设计，安全关口的验证程序如果没有设计好，就会让别人有空可钻，从而造成不必要的损失。很多网站在设计安全关口中都存在登陆验证的漏洞，设计人员在设计时编程的不严谨造成了这个漏洞。

3.2直接进入页面而绕过验证的漏洞在许多的敏感页面中，用户必须进行身份验证，但是这个页面无需对用户的身份验证，一旦用户在知道相关的网页设计页面的文件名和路径时，用户就会直接绕过登陆的界面，进入设计页面。在这样的状况下，网站的设计人员必须对相关的页面进行身份的验证，设计相应的身份验证程序，来达到网站页面的安全可靠程度。

3.3网站病毒的广泛传播计算机中存在的病毒是人们故意设计制造的计算机应用程序，它的特点就是感染性和自制性，在日益扩大的网络规模下，计算机的病毒的种类和数量也在不断的增加，这样也对计算机的的安全造成了很大的威胁。如果网站的终端服务器被计算机病毒传染，就会破坏网站信息的可靠安全性，甚至影响了整个网站的正常运行。

3.4一些网站的非受权在网站的建设中，程序设计人员往往会采用较为复杂的安全配置，这样就会在网络服务的应用中存在非常巨大的安全缺陷，因而给远程的黑客有了可乘之机，侵入到网络服务器的内部，给网站的安全带来了巨大的危害，网络系统中的应用软件的缺陷、密码过于简单等等的系统漏洞，都会让黑客非常容易的侵入。

4解决网站安全隐患的方法

4.1充分考虑网站登陆验证的安全性在相关的论坛和聊天室中，验证身份在登陆时是必要的一步。所以，网站设计人员可以使得程序在生成SQL查询语句之前，验证用户的用户名和密码，或者是设计人员要求用户在进入网页时先对其用户名进行查询再验证密码。而在进入比较敏感的页面时，设计人员可以设计相应的程序要求用户再一次进行身份的验证，这样就增加了网页的安全可靠性。

4.2充分考虑源代码的泄漏程序设计人员对网页的代码加密后可以有效的减少网站源代码泄漏的机会，设计人员可以利用组件技术将编程逻辑密封在ADLL中，或者是对ASP进行加密，这其中利用的是微软的ScriptEncoder，这个方法有操作性强、编辑性强等优点，这样就可以降低源代码泄漏的机率。

网页安全论文篇3

我们将充分发挥网站策划和建设开发的优势，在开发建设上海**物流有限公司网站中将严格遵循以下原则：

(1)在网站维护和后续扩展上：我们提供专门的网站维护后台，网站管理员可以很方便的借助这个平台维护整个网站。我们在规划网站之初，就会将功能模块框架搭建得很大而且易于扩展，以后增加新的功能和模块都会非常方便，降低二次开发成本。另外，对于以静态和flash展示的页面，考虑到页面的精美要求，我们手工维护。

(2)在设计上：精美与高效兼顾。网站页面设计体现上海**物流有限公司的大型企业形象，在框架编排、色彩搭配以及flash动画的适当穿插都做到恰到好处，使整个网站在保证功能的前提下给浏览者带来良好的视觉享受和时代动感。

(3)在网站功能上：充分体现网站的互动性，并且采用多种机制提醒网站管理人员，便于网管和相关人员及时响应。并且特别注重网站的安全和稳定，采用网络安全、系统登录安全、各分系统安全、分系统模块安全、会话期间安全等多种方式确保安全。采用先进的3层结构的编程方式使网站即使在极多访问量的情况下仍能保持稳定。

2、网站目标

网络凭借其卓越的互动性与便捷的交流手段正成为最有发展潜力与前途的新兴媒体，成为众商家倍为关注的宣传热点。许多行业的先锋企业都已经采用互联网技术，为客户、合作伙伴在网上提供信息服务，并且借助互联网，敏锐的捕捉商机。

作为专业从事物流行业的大型企业，上海**物流有限公司更需要建设好网站，将其作为对外宣传、服务和交流的载体，来配合公司的迅速发展，使网站具有鲜明的行业特色，使更多的企业通过网络来结盟上海**物流有限公司，使更多的客户通过网络来了解上海**物流有限公司。

二 网站整体结构

1 网站栏目结构图

 

2 栏目说明

上海**物流有限公司网站栏目结构如上图所示。栏目规划充分考虑到上海**物流有限公司展示企业形象、扩大知名度以及综合功能的需要。网站采用了多种动态模块，企业能够自主、独立的完成网站中多数内容的更新。页面的设计将充分体现上海**物流有限公司一流企业的形象，在框架编排、色彩搭flash动画的适当穿插都做到恰到好处，使整个网站在保证功能的前提下给使用者带来良好的视觉享受和精神愉悦感。

3 首页

    

采用动态asp动态页面，主要显示最新动态信息（自动从新闻动态中提取）、服务项目（自动从物流服务中提取），重要客户（自动从典型客户中提取）等。网管在后台可以动态更新首页的内容。浏览者一进入首页就能够了解整个网站的最新更新和公司的最新活动，给浏览者耳目一新的感觉，吸引浏览者经常访问上海**物流有限公司网站。

4 新闻动态

此栏目采用新闻动态模块，是将网页上的某些经常变动的信息，如：网站新闻、公司动态、业界动态等集中管理，按某些共性分类，通过简单的操作加入数据库，到网站上的一套系统。它的出现大大减轻了网站更新维护的工作量，加快了信息的传播速度，使网站时时保持着活力和影响力。

模块特点

  a、支持新闻按专题、栏目、媒体、关键词、日期等条件检索；

    b、支持图片，每条信息和新闻可配上图片，并选择图片与文字的显示方式；

    c、支持各种风格的新闻显示样式，可定制个性化新闻模版；

    d、提供各种统计方式，帮助您分析新闻浏览情况；

    e、根据信息的重要性，选择信息显示的位置。

模块功能说明

·新闻前台——新闻在首页显示的页面

 

说明：若新闻带有图片或被定义为热点新闻，标题后会有小图标显示，并且优先显示。

·新闻前台——新闻目录显示页面

·新闻前台——新闻详细信息显示页面

 

·新闻后台——类别添加

 

·新闻后台——类别列表

 

·新闻后台——新闻添加

·新闻后台——新闻修改

 

·新闻管理页面

 

5 公司概况

本栏目包括“公司介绍”、“企业理念”、“服务网络”三个板块，其主要功能是宣传企业，通过对企业的基本情况、文化理念、服务的了解，使上海**物流有限公司为更多客户所熟悉、信赖。这个栏目全部采用静态页面，我们将采用多种表现形式将公司的企业形象予以最好的传达。

6 物流服务

本栏目包括“配送运输”、“仓储服务”、“集卡服务”、“国际物流”、“货运”五个板块。其主要功能是全面展示**物流的服务项目，页面采用图文相兼的方式。

7 网上定单

本栏目链接企业内部物流信息管理系统，客户可凭用户名和密码登陆查询相关信息。

8 典型客户

本栏目采用动态数据库功能，管理员可在后台自由添加、修改、删除相关合作客户信息；前台客户也可通过行业、地区或公司名来查询相关公司信息；并可将重要客户或新加盟的客户放在首页上；使访客能更好的了解**物流的合作伙伴动态。共3页,当前第1页1

9 人才招聘

企业的不断发展壮大，需要不断的充实自己的人才队伍，上海**物流有限公司的网站开设这样一个栏目就显得很有必要。

 

10 联系我们

分“联系信息”和“留言板”。“联系信息”是静态页面，介绍公司的联系方式。其中email可采用超级连接，客户点击后即写信、发送。“留言板”通过管理员设置固定模板，客户在线填写递交；后台管理员通过不同需求类型或行业进行划分、查询，统一部署给不同部门去办理，从而大大提高工作效率。

推荐模块

11 企业论坛

模块介绍

网站的访客可就所关心的产品、服务、相关知识等提出自己的问题或表明观点、感受等。而企业专职人员则可及时反馈信息。所有这些文字形成的交流都会记录在系统中，供其他访客浏览、借鉴。系统可根据企业产品或服务种类的不同而设立多主题多版面，并引导访客选择相应的主题进行讨论。这将营造条理清晰、目的明确的沟通环境，提高信息查询检索的效率。 企业还可以根据需要开设技术支持版面，在线答复访问者提交的问题，将其作为企业售后服务体系的一部分。

模块特点

    a、讨论区-话题-贴子三级结构，清晰明了；

    b、提供对点击率、回复率等各种统计分析，同时有强大的排序，查阅功能；

    c、管理员指定内部信息为专家评论，吸引用户访问；

模块功能说明

·论坛前台——论坛首页显示页面

·论坛前台——论坛主题列表

·论坛前台——论坛文章显示页面

·文章前台——文章发表显示页面

 

·管理后台——论坛栏目添加页面

 

·管理后台——论坛栏目管理页面

 

·管理后台——论坛文章管理

 

12 邮件群发

邮件群发系统是网站管理员与会员沟通以及企业推广产品的工具。网站管理员可选择不同类型的会员群发邮件，邮件内容可以是文本格式，也可以是html页面格式，发送邮件还可选择个性化发送，即在邮件中带上该会员的名字，例如：“尊敬的某某”，这样让接收者感觉信是专门为他而发，觉得很亲切，从而对信件内容的排斥就会减少很多。

功能简介：

 电子邮件地址自主添加、查看、删除

 电子邮件地址按组管理

 电子邮件地址名字、email地址、日期、邮件组检索

 电子邮件地址按组发送

 电子邮件发送日志管理，自由查看、删除

·电子邮件地址添加页面

 

·电子邮件地址管理页面

 

·电子邮件发送页面

·电子邮件发送日志页面

三 网站权限管理

系统严格限制不同管理员（webmaster）的权限。对每个模块的管理权限可以分开指定，例如某个管理员有公司动态的权限、客户服务管理权限，某个管理员有产品世界的管理权限，某个管理员有所有的权限。这样既可使整个网站的庞大管理功能分解给各个管理人员，确保有效管理，又提高了整个网站的安全性。

四 网站建设平台分析

作为一个提供信息服务的电子商务网站，网站的稳定、高速、安全问题就显得十分重要，为了保证上海**物流有限公司网站的稳定运行，我公司建议上海**物流有限公司网站采用我公司提供的高端虚拟主机。

1 虚拟主机

我们提供全面而专业的虚拟主机服务，为专业网站提供最完善解决方案，为知名网站提供最稳定和安全的网络平台，解决您拓展网络世界及电子商务的后顾之忧。我们为客户提供以下标准服务：

沪上最好的托管环境

高品质机房环境及设备，恒温恒湿控制系统

通过2根千1000m光纤直接接入chinanet骨干网，国内出口2g、国际出口1g

dellhp机架式服务器配置

服务器系统软件安装、调试

不间断、无休日24*7*365小时网络系统管理维护与技术支持

免费提供ip地址、流量监测

紧急状况处理

标准远程管理软件使用培训

更有防火墙、数据备份、系统安全、ssl加速、无缝移机、本地负载均衡（服务器集群）、高速缓存/镜像等增值服务

一旦采用了我们的虚拟主机服务，您不仅节省了大量的资金，而且获得了我们为您提供的专业服务器、高带宽接入、网络技术支持和监控。

2 数据中心托管环境

l 高品质电信机房

在我们设施先进的高品质电信机房中，千兆带宽直接接入chinanet骨干网（国内2g，国际1g），有最可靠的供电系统（双路交流电+ups+柴油发电机）；有覆盖整个大楼的中央空调系统；全自动的消防系统和全天候的全年中无休的机房保安使您的服务器免受火灾等及非法侵入。

l 卓越的监控系统

我们不仅有专门设置的监控器，随时观察服务器的运作情况，更可检测实时流量及网络连通情况，并提供在线实时流量报告及网络状况监控报告，能够及时发现问题并采取相应措施。

l 专业的网络人才

我们的专业工程师具有多年的网络背景，有丰富网络(wan&lan)建设与软件开发经验，精通internet相关技术、熟悉各种互联网操作系统和网络工具软件，在解决网络与系统故障方面有突出能力。

l 迅速的现场处理

我们每天24小时为您提供最高效服务器技术保障、管理、维护和实时监控，保证您的服务器能最稳定地运行。

l 及时的服务器升级

随着您的业务欣欣向荣，对网络资源的需求将不断增加。上海我们依托其丰富资源和较强的扩充能力，将满足您对服务器配置、主机空间和带宽扩充方面的所有要求，以配合您业务的增长。共3页,当前第2页2

l 可控的主机租费

资源外包服务的费用可以通过服务商的选择和商务谈判达到完全可控，与建设高成本、高复杂度和高变动风险的网站系统和承担网络工程师的薪金相比，主机托管的经济优势可见一斑。

五 网站运营安全策略

网页安全论文篇4

internet已渗透到了社会的各个领域，不仅影响着我们的学习和工作，在internet的发展中，/gongxue/">科学技术的发展，现在都可以想像得到。由此可以想像到未来的网页设计，那时候网页设计的要求是什么呢？怎样才能适应电子商务的发展呢？我有以下几点想法:网页能具有人性化;网页要具有相当的美感;网页更加强调交互性。

二、电子商务网站的安全现状

电子商务网站安全主要涉及网络信息的安全和网络系统本身的安全。电子商务网站安全的隐患主要来自操作系统、网络和数据库的脆弱性以及安全管理上的疏忽。电子商务网站安全从本质上讲就是网络上信息的安全，包括静态信息的存储安全和信息的传输安全。从广义上讲，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。因此为了保证网络的安全，必须保证以下四个方面的安全： 运行系统的安全；

网络上系统信息的安全； 网络上信息传播安全； 网络上信息内容的安全。

以下是对目前国内电子商务站点普遍存在的几个严重的安全问题的一些分析。

1.客户端数据的完整性和有效性检查

(1)特殊字符的过滤

在 w3c 的 /">参考。

1.防范脚本攻击

(1)js脚本和html脚本攻击的防范其实很简单，只要用server.htmlencode（str）就可以了。当然全以＜%=uid%＞过滤，为了方便的过滤，只需要将html脚本和js脚本中的几个关键字符过滤掉就可以了，如下代码所示：

以下是过滤函数chk()

＜%

function chk(fqystring)

fqystring = replace(fqystring, “＞”, “＞”)

fqystring = replace(fqystring, “＜”, ”＜“)

fqystring = replace(fqystring, “&#”, “&”)

fqystring = replace(fqystring, chr(32), “ ”)

fqystring = replace(fqystring, chr(9), “ ”)

fqystring = replace(fqystring, chr(34), “”“)

fqystring = replace(fqystring, chr(39), ”‘“)

fqystring = replace(fqystring, chr(13), ”“)

fqystring = replace(fqystring, chr(10) & chr(10), ”＜/p＞＜p＞ “)

fqystring = replace(fqystring, chr(10), ”＜br＞ “)

chk = fqystring

end function

%＞

(2)很多站点在用户注册，或者是用户资料修改的页面上也缺少脚本的过滤，或者是只在其中之一进行过滤，注册进入后修改资料仍然可以进行脚本攻击。对用户提交的数据进行检测和过滤如以下代码：

if instr(request(”username“),”=“)＞0 or

instr(request(”username“),”%“)＞0 or

instr(request(”username“),chr(32))＞0 or

instr(request(”username“),”?“)＞0 or

……

instr(request(”username“),”＞“)＞0 or

instr(request(”username“),”＜“)＞0 or

instr(request(”username“),”“”“)＞0 then

response.write ”朋友，你的提交用户名含有非法字符，请更改，谢谢合作 ＜a href=’****:window.history.go(-1);‘＞返回＜/a＞“

response.end

end if

2.防范sql injeciton攻击

从最一般的.sql injection 漏洞攻击来看，主要在用户名和密码上的过滤问题，提交：用户名为：‘or’‘=’ 用户密码为：‘or’‘=’从程序出发，数据库在执行以下操作sql=“ select * from lusers where username=”or“=” and password = “or”=“”时，sql 服务器将返回lusers表格中的所有记录，而asp脚本将会因此而误认为攻击者的输入符 lusers表格中的第一条记录，从而允许攻击者以该用户的名义登入网站。对此类注入的防范可以利用以下代码就可以实现strusername = replace(request.form(“username”), “‘’”, “‘’‘”)

strpassword = replace(request.form(“password”), “’‘”, “’‘’‘”)

3.防止asp木马

防止asp木马被上传到服务器的方法很简单，如果你的论坛支持文件上传，请设定好你要上传的文件格式，我不赞成使用可更改的文件格式，直接从程序上锁定，只有图象文件格式和压缩文件就完全可以，因为多给自己留点方便也就多给攻击者留点方便。怎么判断格式，如下面代码所示：

判断文件类型是否合格

private function checkfileext (fileext)

dim forumupload

forumupload=”gif,jpg,bmp,jpeg“

forumupload=split(forumupload,”,“)

for i=0 to ubound(forumupload)

if lcase(fileext)=lcase(trim(forumupload(i))) then

checkfileext=true

exit function

else

checkfileext=false

end if

next

end function

上述介绍的一些安全防范的方法在编写网页代码时被常用到，这些代码还是较为基本的一些代码，但能有效的防止一些黑客的攻击，当然加入了这些代码可能会降低程序的使用效率。做为一名网站的管理人员或网页制作人员在进行网页制作和网站维护时应加强安全防范的意识，确保在网络上进行数据传输的可靠性。

网页安全论文篇5

1网页设计安全漏洞的形成ASP、PHP或JSP等脚本语言作为典型的服务器端网页设计技术，为网站开发人员提供了简单高效的动态Web应用程序开发方法。在网站设计时，使用上述脚本语言编程可以更好地管理网站资源，增加网站与浏览者之间的交互，如新闻系统、产品管理系统、会员管理系统、论坛反馈系统、在线调查系统、在线订单系统和留言板系统等，其共同点是用户输入很多资料，与其他浏览者交流或者与网站管理者交流。。而交互正是漏洞形成的一大原因，因为用户输入信息不可预测，如果程序没有考虑或者考虑不全面，用户输入就有可能成为攻击事件，且不管有意还是无意。网页编程直接和服务器打交道，与网站目录、网站数据库设置、系统设置相关，通过这些程序访问网站目录、设置等所有服务器内容，若程序设计有漏洞，即网站有漏洞。

2网页设计的安全漏洞及对策2.1登陆验证漏洞凡带有交互性的网站，包括论坛、聊天室、信息网会员区、网上影院等，登陆验证是必不可少的组成部分。。虽然登陆的验证程序只是网站整体的一部分，但却是网站的安全关口。网站设计者容易疏忽这一点，没有处理好口令验证程序的关口，以至他人趁虚而进，甚至造成重大影响与经济损失。许多网站都存在一个登陆验证的漏洞，而这个漏洞是在编写程序验证账号密码时由于程序不严谨而造成。。如在设计网站会员区时，都会将账号、密码放在一个叫“User”的数据表中，并设置“username”和“password”两个字段分别表示用户的登录名称和登录密码。当验证时，检查用户输入的两个参数是否存在于这个数据表，如果存在，证明这个用户合法；不存在，证明用户不合法，而漏洞就出现在这段验证代码上。

在登陆验证(以asp为例)中常会用SQL查询语句来判断该用户是否为站点的合法会员。

<!--连接数据库-->

<!--#include file=dbconn.asp -->

<%

Dim rs

Set rs=CreateObject(“Adodb.Recordset”) ‘定义一个Ado数据集实例

rs.source='select * from user whereusername=’” & username & “’and password=’” & password & “’”

‘连接登陆验证语句字串

rs.open rs.sourc,conn,1,1 ‘执行查询语句

...

%>

当根据以上的SQL语句构造一组特殊的用户名和密码，例如用户名为该网站任意一个存在的用户名Admin，密码为a' or 'a'='a，则程序中SQL变量的值将会变成sql=“select* from username where username=’a’ and password=’a’ or ’a’=’a’” 显然，该查询语句的逻辑原意已被彻底改变，一个逻辑运算符or使用整个逻辑条件为真，即这条SQL口令验证语句已经失去了效用，只要知道了任意一个存在的用户名就可以成功地进入到敏感区域。

解决漏洞的方案如下：

1） 生成SQL查询语句之前，对用户输入的参数(用户名和密码)进行过滤；

2）先查询用户名再进行密码验证。

2.2绕过验证直接进入设计页面漏洞每个敏感的页面必须进行身份验证，如果用户知道了一个设计页面（如用ASP）的路径和文件名，而这个页面又没有验证的程序，则用户可直接输入这个设计页面的文件名，即绕过了登陆验证，直接进入了指定的页面。。网站设计者除了登陆验证外还必须在有关页面进行身份验证，才能提高站点的安全指数。。

2.3桌面数据库被下载漏洞在ASP＋Access应用系统中，如果获得Access数据库的存储路径和数据库名，则该数据库可以被下载到本地。。如对于网上图书馆的Access数据库，一般命名为Library.mdb等，而存储的路径一般为“URL/database”或放在根目录（“URL/”）下。这样，只要在浏览器地址栏中输入地址 “URL/database/Library.mdb”，就可以轻易地把Library.mdb下载到本地的机器中。

在ASP程序设计中，应尽量使用ODBC数据源，不直把数据库名直接写在程序中，否则数据库名将随ASP源代码的失密而一同失密，例如：

DBPath = Server.MapPath(“./akkjj16t/kjhgb661/acd/avccx55/faq19jhsvzbal.mdb ”)

conn.Open “driver={Microsoft Access Driver (＊.mdb)};dbq=” ＆ DBPath

可见，ASP源代码失密后，数据库也很容易被下载。如果使用ODBC数据源，则不会存在 conn.open

“ODBC－DSN名”。2.4 源代码泄露漏洞为有效防止源代码泄露，可以对页面代码进行加密。

一般有以下两种方法对ASP页面进行加密：

1) 使用组件技术将编程逻辑封装入DLL中；

2) 使用微软的Script Encoder对ASP页面进行加密。

使用组件技术存在的主要问题是每段代码均需组件化，操作比较烦琐，工作量较大，而使用Script Encoder对ASP页面进行加密，操作简单、收效良好。Script Encoder方法具有以下优点：

1）HTML具有很好的可编辑性，Script Encoder只加密在HTML页面中嵌入的ASP

代码，其他部分仍保持不变，故仍可以使用FrontPage或Dreamweaver等常用网页编辑工具对HTML部分进行修改、完善，但不能对ASP加密部分进行修改，否则将导致文件失效；

2） 作较简单，只要掌握几个命令行参数即可，Script Encoder的运行程序是

screnc.exe，其使用方法如下：screnc [/s] [/f] [/xl] [/l defLanguage ] [/e:defExtension] inputfileoutputfile，其中 s为屏蔽屏幕输出；f为指定输出文件是否覆盖同名输入文件；xl指是否在.asp文件的顶部添加@Language指令；l为defLanguag指定缺省的脚本语言；e为defExtension 指定待加密文件的扩展名；

3） 用Script Encoder可以对当前目录中所有的ASP文件进行加密，并把加密

后的文件统一输出到相应的目录中，例如：screnc ＊.asp c: emp；

4） cript Encoder是免费软件，该加密软件可以从微软网站

http://msdn.microsoft.com/scripting/vbscript/download/x86/sce10en.exe下载，下载后，运行安装即可，利用Session对象进行注册验证。

2.4文件上传漏洞许多网站如论坛、同学录、邮件服务系统都提供了文件上传的功能，但设计者在设计用户提交参数缺少充分过滤，以至远程攻击者利用这个漏洞可以上传恶意文件，甚至造成系统数据库破坏或以Web权限在系统上执行任意命令。例如iXmail包含的“ixmail_attach.php”脚本对用户提交的附件缺少充分过滤，攻击者可以通过操作URL参数上传恶意文件(如php文件)到服务器上，虽然文件放置在Web目录下的/tmp目录中，但可以远程访问，因此攻击者可能以Web进程权限在系统上执行任意命令，故在文件上传之前，加入文件类型判断模块，并进行过滤。如要求用户上传图片时，对上传的文件格式进行判断，如果是指定的图片文件格式(如JPG、GIF)允许上传，其他格式诸如*.EXE,*.PHP，*.ASP，*.JSP等可执行或可解释的程序文件就禁止上传。

3 结论本文介绍了网站建设中网页设计容易出现的漏洞和解决方法，安全概念要贯穿在整个网页设计过程中，只有随时考虑安全的问题，网站才会有更强的安全性。

参考文献[1] 希利尔 S著. Active Server Pages编程指南[M]. 董启雄译. 北京: 宇航出版社, 1998.

[2] 沈文智. Microsoft IIS 网页技术[M]. 北京: 人民邮电出版社,1998.

网页安全论文篇6

网页设计配色基础

虽然有图书广告之嫌，不过已上传到网上的可免费阅读的这部分内容还是相当可观的，对基础色彩理论分析比较详细，值得一看。

.cn/668

关于色彩的“纯度”概念问题

这是上面文章内容的一个补充与扩展，介绍了图形图像处理过程中经常接触的HSB色彩模式，尤其对色彩的“纯度”概念作了较为详细的解析。

.cn/669

色彩工具篇

轻松定制自己的配色方案

这个网站提供了多个色彩工具，可以帮助网页设计师轻松完成配色方案。其中，ColorPix（从屏幕任意处吸取颜色并转换成设计时可用的颜色值）和Galleria（内置了多种配色方案模板）还可以免费下载使用。它们最有特色的一个服务，是免费在线提供了2千多个的配色方案，并有具体应用网站的地址链接。

.cn/670

中英文颜色代码参考手册

当你的客户说：“我希望网页的主色调是苍白的紫罗兰红色。”这时你能想像出这是种什么样的颜色么？在电脑中颜色通过数值精确表达，但是在生活中我们常会用形容词来描述。如果你想了解这些形容词描述的颜色实际是什么样子，那么就到这个网页上来查查看吧。

.cn/671

网页216安全色调板

为了避免网页的颜色在不同的显示器或不同的浏览器中打开时显示的差异太大，设计时可尽量采用网页216安全色。这个网站提供一个网页216安全色调板工具，可借助它来完成配色方案（见图）。

.cn/672

色彩实例篇

关于韩国网站的风格探讨

韩国在设计方面的成绩可圈可点，值得我们学习的地方还是不少的。这篇文章以实例的方式系统地分析了韩国一些流行网站的页面风格，对色彩也进行了很好的图文解说。有兴趣的朋友不妨借鉴一下。

.cn/673

欧美风格商业站点模板分析

欧美作为现代设计的发源地，积累了大量的理论和实践经验，他们的网页设计别有一番天地。这篇文章对欧美风格的商业站点进行了详细分析，对色彩的理解也值得借鉴一下。

.cn/674

其他篇

网页安全论文篇7

所谓网站结构就是说你的网站是用什么样语言去写的，一般网站结构分为两大类，一类是静态结构，也就是我们常说的HTML做的网站，为什么说搜索引擎比较喜欢静态网站呢，其实搜索引擎当把蜘蛛放出来收录网站的时候，搜索引擎第一步考虑的就是蜘蛛在爬行中的安全，如果说蜘蛛掉进了蜘蛛陷阱等人为破坏蜘蛛日程工作的话，那么对于搜索引擎和蜘蛛都是没有好处的，所以面临安全问题，搜索引擎一般都是很喜欢静态页面的，第一静态页面很安全，可以保证蜘蛛每天日程工作。

二就是静态页面不会让蜘蛛陷入无限循环的页面中，所以对于静态页面搜索引擎服务器是很喜欢的，如果说你的新网站是静态页面的话，那么搜索引擎会很快收录你的网站，说完静态页面下面就说一下第二类动态页面，动态页面也就是我们常说的ASP、.net等语言做的页面，这些页面对于搜索引擎服务器都是有风险的，因为搜索引擎当判断你的网站是动态页面的话，就会考虑到安全问题，一般动态也面只要一段小小的代码就可以让蜘蛛陷入无限循环页面中去，所以搜索引擎对于动态页面的收录于静态页面收录相比之下要少很多，所以在选择网站结构上，搜索引擎服务器有限考虑静态页面。

二、拉蜘蛛爬行

如果说你的网站没有被收录，不管是动态页面还是静态页面，那么就要做一些辅助性的工作，而工作的内容都是一样的，没有什么区别，所以大家这里要注意，不要以为不同结构的网站要做不同的工作，而且在工作的时候要找一些权重比较高的网站，然后利用权重比较高的网站做杠杆，然后撬动自己的网站进入搜索引擎排名中去，说到这里可能有写新站站长们有些迷糊了，那具体做怎么做呢?本人可以给一些案例方式给大家做示范，请各位站长稍安勿躁，而且在说案例之前我要提醒各位站长，如果说你的网站是做非法性质的网站，其实搜索引擎不收录你是很安全的，所以在做网络推广的时候一定要认清楚这一点，因为现在搜索引擎将所有违法关键词和违法性网站清理的差不多，而且新的违法性网站搜索引擎也是不会收录的，所以各位站长本人强烈提醒大家不要做违法信息网站，因为搜索引擎不收录，好了废话少说，下面和大家说一些案例作为示范，给各位站长们做一个引子，等看完案例只要去模仿或者做相关的事情就可以拉蜘蛛爬行你的网站了：

1、发帖：对一些权重比较高的论坛和贴吧进行发帖，然后把关键词大量的出现在文章中，然后在文章的最后写下自己的网址要带，并且帖子内容不要出现非法性、广告类的信息，如果出现论坛斑竹们会删除你的帖子，并且有可能封掉你的IP。

2、问答：一般搜索引擎产品中都会有问答转来，去问答转来找一些与自己网站主题相关的问题，然后进行认真的回答，可以在网上找资料复制上去，然后在资料中大量出现关键词，在回答的最后出现链接地址就可以了，别忘记带。

网页安全论文篇8

布置自己的个性页面

当成功注册一个账号后，就立即拥有一个现成的“个人主页”了（图1）。只是这个现成的网页没有添加任何内容，下面还需要我们自己为其添砖加瓦。上面能看到的每个小方块都代表一个功能模块，我们可以用鼠标随意拖动这个模块并放置到该页面的任何一个位置。每个模块的编辑操作都不相同，但都非常简单。例如，在Blog模块中可以通过点击“添加新文章”链接向Blog中添加新文章。添加图片、视频、音频等都按照类似的方法即可。另外，如果嫌当前页面上默认的组件数目少，可以通过点击页面左上角的“模块＋”按钮来添加更多的模块。

当然，这么轻松地拥有了一个免费而漂亮的个人主页，如何让别人访问到这个页面呢？其实，只要你注册了“随随”通行证，就有一个对应的个人主页地址了，例如你以“abc”注册，对应的个人主页地址便是abc.省略/，直接在浏览器中访问这个地址便可快速打开abc这个用户的个人主页了。

随处收藏自己的最爱

细心的读者朋友们可能已经发现了，在每个账户对应的个人主页页面上都有一个“我的收藏”项，这个是用来做什么的呢？当用户在网上冲浪时看到好的内容、图片时，可以通过它快速收藏。使用此功能需要先下载安装“随随”的客户端组件，安装完成后可以在浏览器右键菜单中看到“！Maikr随随”项，点击后开启相应的工作工具栏（图2）。点击上面的“收藏”按钮便可收藏当前页面，收藏后的项目将会自动显示在主页中的“我的收藏”列表中。而大家看到的“ā照”是指去除当前页面上的HTML元素，只单独显示相应的文本，适合于低网速环境下使用。另外，还有一个功能比较特别，就是“评论”功能，通过它可以在当前页面上添加评论，只要用鼠标点击任何一个点便会在此添加一个评论点，再用鼠标点击它便会弹出添加评论消息的窗口，然后将相应的评论信息输入进去即可（效果见图2）。以后想查看收藏的页面，只要在自己的“随随”主页上点击“我的收藏”中的对应项目就可以了。

网页安全论文篇9

2用IIS+ASP建网站的安全性分析

微软推出的IIS+ASP的解决方案作为一种典型的服务器端网页设计技术，被广泛应用在网上银行、电子商务、网上调查、网上查询、BBS、搜索引擎等各种互联网应用中。但是，该解决方案在为我们带来便捷的同时，也带来了严峻的安全问题。本文从ASP程序设计角度对WEB信息安全及防范进行分析讨论。

3SP安全漏洞和防范

3.1程序设计与脚本信息泄漏隐患

bak文件。攻击原理：在有些编辑ASP程序的工具中，当创建或者修改一个ASP文件时，编辑器自动创建一个备份文件，如果你没有删除这个bak文件，攻击者可以直接下载，这样源程序就会被下载。

防范技巧：上传程序之前要仔细检查，删除不必要的文档。对以BAK为后缀的文件要特别小心。

inc文件泄露问题。攻击原理：当存在ASP的主页正在制作且没有进行最后调试完成以前，可以被某些搜索引擎机动追加为搜索对象。如果这时候有人利用搜索引擎对这些网页进行查找，会得到有关文件的定位，并能在浏览器中查看到数据库地点和结构的细节，并以此揭示完整的源代码。

防范技巧：程序员应该在网页前对它进行彻底的调试。首先对.inc文件内容进行加密，其次也可以使用.asp文件代替.inc文件，使用户无法从浏览器直接观看文件的源代码。

3.2对ASP页面进行加密。为有效地防止ASP源代码泄露，可以对ASP页面进行加密。我们曾采用两种方法对ASP页面进行加密。一是使用组件技术将编程逻辑封装入DLL之中；二是使用微软的ScriptEncoder对ASP页面进行加密。3.3程序设计与验证不全漏洞

验证码。普遍的客户端交互如留言本、会员注册等仅是按照要求输入内容，但网上有很多攻击软件，如注册机，可以通过浏览WEB，扫描表单，然后在系统上频繁注册，频繁发送不良信息，造成不良的影响，或者通过软件不断的尝试，盗取你的密码。而我们使用通过使用验证码技术，使客户端输入的信息都必须经过验证，从而可以解决这个问题。

登陆验证。对于很多网页，特别是网站后台管理部分，是要求有相应权限的用户才能进入操作的。但是，如果这些页面没有对用户身份进行验证，黑客就可以直接在地址栏输入收集到的相应的URL路径，避开用户登录验证页面，从而获得合法用户的权限。所以，登陆验证是非常必要的。

SQL注入。SQL注入是从正常的WWW端口访问，而且表面看起来跟一般的Web页面访问没什么区别，所以目前市面的防火墙都不会对SQL注入发出警报，如果管理员没查看IIS日志的习惯，可能被入侵很长时间都不会发觉。

SQL注入攻击是最为常见的程序漏洞攻击方式，引起攻击的根本原因就是盲目信任用户，将用户输入用来直接构造SQL语句或存储过程的参数。以下列出三种攻击的形式：

A．用户登录：假设登录页面有两个文本框，分别用来供用户输入帐号和密码，利用执行SQL语句来判断用户是否为合法用户。试想，如果黑客在密码文本框中输入''''OR0=0，即不管前面输入的用户帐号和密码是什么，OR后面的0=0总是成立的，最后结果就是该黑客成为了合法的用户。

B．用户输入：假设网页中有个搜索功能，只要用户输入搜索关键字，系统就列出符合条件的所有记录，可是，如果黑客在关键字文本框中输入''''GODROPTABLE用户表，后果是用户表被彻底删除。

C．参数传递：假设我们有个网页链接地址是HTTP：//……asp?id=22，然后ASP在页面中利用Request.QueryString[''''id'''']取得该id值，构成某SQL语句，这种情况很常见。可是，如果黑客将地址变为HTTP：//……asp?id=22anduser=0，结果会怎样?如果程序员有没有对系统的出错提示进行屏蔽处理的话，黑客就获得了数据库的用户名，这为他们的进一步攻击提供了很好的条件。

解决方法：以上几个例子只是为了起到抛砖引玉的作用，其实，黑客利用“猜测+精通的sql语言+反复尝试”的方式，可以构造出各种各样的sql入侵。作为程序员，如何来防御或者降低受攻击的几率呢?作者在实际中是按以下方法做的：

第一：在用户输入页面加以友好备注，告知用户只能输入哪些字符；

第二：在客户端利用ASP自带的校验控件和正则表达式对用户输入进行校验，发现非法字符，提示用户且终止程序进行；

第三：为了防止黑客避开客户端校验直接进入后台，在后台程序中利用一个公用函数再次对用户输入进行检查，一旦发现可疑输入，立即终止程序，但不进行提示，同时，将黑客IP、动作、日期等信息保存到日志数据表中以备核查。

第四：对于参数的情况，页面利用QueryString或者Quest取得参数后，要对每个参数进行判断处理，发现异常字符，要利用replace函数将异常字符过滤掉，然后再做下一步操作。

第五：只给出一种错误提示信息，服务器都只提示HTTP500错误。

第六：在IIS中为每个网站设置好执行权限。千万别给静态网站以“脚本和可执行”权限。一般情况下给个“纯脚本”权限就够了，对于那些通过网站后台管理中心上传的文件存放的目录，就更吝啬一点吧，执行权限设为“无”好了。

第七：数据库用户的权限配置。对于MS＿SQL，如果PUBLIC权限足够使用的绝不给再高的权限，千万不要SA级别的权限随随便便地给。

3.4传漏洞

诸如论坛，同学录等网站系统都提供了文件上传功能，但在网页设计时如果缺少对用户提交参数的过滤，将使得攻击者可以上传网页木马等恶意文件，导致攻击事件的发生。

防文件上传漏洞

在文件上传之前，加入文件类型判断模块，进行过滤，防止ASP、ASA、CER等类型的文件上传。

暴库。暴库，就是通过一些技术手段或者程序漏洞得到数据库的地址，并将数据非法下载到本地。

数据库可能被下载。在IIS+ASP网站中，如果有人通过各种方法获得或者猜到数据库的存储路径和文件名，则该数据库就可以被下载到本地。

数据库可能被解密

由于Access数据库的加密机制比较简单，即使设置了密码，解密也很容易。因此，只要数据库被下载，其信息就没有任何安全性可言了。

防止数据库被下载。由于Access数据库加密机制过于简单，有效地防止数据库被下载，就成了提高ASP+Access解决方案安全性的重中之重。以下两种方法简单、有效。

非常规命名法。为Access数据库文件起一个复杂的非常规名字，并把它放在几个目录下。

使用ODBC数据源。在ASP程序设计中，如果有条件，应尽量使用ODBC数据源，不要把数据库名写在程序中，否则，数据库名将随ASP源代码的失密而一同失密。

使用密码加密。经过MD5加密，再结合生成图片验证码技术，暴力破解的难度会大大增强。

使用数据备份。当网站被黑客攻击或者其它原因丢失了数据，可以将备份的数据恢复到原始的数据，保证了网站在一些人为的、自然的不可避免的条件下的相对安全性。

3.5SP木马

由于ASP它本身是服务器提供的一项服务功能，所以这种ASP脚本的木马后门，不会被杀毒软件查杀。被黑客们称为“永远不会被查杀的后门”。我在这里讲讲如何有效的发现web空间中的asp木马并清除。

技巧1：杀毒软件查杀

一些非常有名的asp木马已经被杀毒软件列入了黑名单，所以利用杀毒软件对web空间中的文件进行扫描，可以有效的发现并清除这些有名的asp木马。

技巧2：FTP客户端对比

asp木马若进行伪装，加密，躲藏杀毒软件，怎么办？

我们可以利用一些FTP客户端软件（例如cuteftp，FlashFXP）提供的文件对比功能，通过对比FTP的中的web文件和本地的备份文件，发现是否多出可疑文件。

技巧3：用BeyondCompare2进行对比

渗透性asp木马，可以将代码插入到指定web文件中，平常情况下不会显示，只有使用触发语句才能打开asp木马，其隐蔽性非常高。BeyondCompare2这时候就会作用比较明显了。

技巧4：利用组件性能找asp木马

如：思易asp木马追捕。

大家在查找web空间的asp木马时，最好几种方法结合起来，这样就能有效的查杀被隐藏起来的asp木马。

结束语

总结了ASP木马防范的十大原则供大家参考：

建议用户通过FTP来上传、维护网页，尽量不安装asp的上传程序。

对asp上传程序的调用一定要进行身份认证，并只允许信任的人使用上传程序。

asp程序管理员的用户名和密码要有一定复杂性，不能过于简单，还要注意定期更换。

到正规网站下载asp程序，下载后要对其数据库名称和存放路径进行修改，数据库文件名称也要有一定复杂性。

要尽量保持程序是最新版本。

不要在网页上加注后台管理程序登陆页面的链接。

为防止程序有未知漏洞，可以在维护后删除后台管理程序的登陆页面，下次维护时再通过上传即可。

要时常备份数据库等重要文件。

日常要多维护，并注意空间中是否有来历不明的asp文件。

一旦发现被人侵，除非自己能识别出所有木马文件，否则要删除所有文件。重新上传文件前，所有asp程序用户名和密码都要重置，并要重新修改程序数据库名称和存放路径以及后台管理程序的路径。

做好以上防范措施，您的网站只能说是相对安全了，决不能因此疏忽大意，因为入侵与反入侵是一场永恒的战争！网站安全是一个较为复杂的问题，严格的说，没有绝对安全的网络系统，我们只有通过不断的改进程序，将各种可能出现的问题考虑周全，对潜在的异常情况进行处理，才能减少被黑客入侵的机会。

参考文献

[1]袁志芳田晓芳李桂宝《ASP程序设计与WEB信息安全》中国教育信息化2007年21期.

网页安全论文篇10

* ?不管选择哪种解决方案，都要尽快解决网页威胁管理问题。 虽然关于企业内部自建与云服务对比的理论思考还在继续，而另一方面网页威胁管理的复杂性也在不断在增长。结果，ESG 研究表明大型企业在网页威胁管理解决方案上的投资越来越多。

* 企业内部自建和云端部署都有其优势和劣势。网页威胁管理网关适用于大型集中式设施，而 SaaS 则适用于远程办公和经常外出的员工。遗憾的是，大型全球化企业在这些方面都有需求，因此不管是安全网关还是 SaaS 都无法单独满足其需求。首席信息安全官们想知道他们到底应该选择一个解决方案，还是实施多个供应商的多个解决方案。

* 大型全球化企业需要紧密集成的混合式解决方案。 通常跨国企业都有大量集中的和分散的员工。这些企业需要一致的策略管理、实施和监督，让雇员不管从网络的哪个位置连接都有很强的安全性。实际上，这正是实施结合了企业内部自建设备控制与云的灵活性的统一混合式网络安全解决方案的最主要原因。采用混合式架构，大型全球化企业不但可以进行集中管理、分布式实施，还能够利用移动、远程和集中的员工云计算社区的“众包”优势。这种结合了两个领域最佳优势的架构将发展成为标准的企业部署。

网页威胁越来越危险

虽然病毒、蠕虫和木马的防御一直都是个难题，但许多首席信息安全官们认为现在的威胁管理更是一天比一天棘手。这是由于大型企业不但要面对传统的攻击载体，还要面对越来越危险的网页威胁。由于以下原因，这方面的情况会越来越糟糕：

* ?空前的恶意代码量。 根据最新的 Blue Coat 网站报告，网页威胁的数量仅与去年相比就增加了 500%以上。此外，恶意代码变种的数量增加了 300% 以上，而钓鱼攻击增加了 600% 以上。

* 危险的网页内容。 近半数恶意代码的威胁目标是网络浏览器，因为许多网页应用程序都很脆弱，很容易受到感染。用户还倾向于相信 Google、Yahoo 和 Bing 等高流量站点的网站，而这些网站都受到过攻击并被用于散播恶意代码。Web 2.0 是由动态内容驱动的，这是一个新的又难以捉摸的入侵载体。最后，网页威胁可以特定企业或个人为目标，使检测和预防都极其困难。

* 社交网络载体。社交网络站点已经迅速成为犯罪的多发地。例如，Zeus 僵尸网络在过去的几年里通过 Facebook 散播了超过 150 万的钓鱼信息。因此难怪有超过三分之二 (77%) 在企业机构（超过 1000名员工）工作的安全专业人员认为，员工访问社交网络会提高受到复杂攻击的几率（见 图 1）

图 1.相信社交网络站点会提高受到 APT 攻击的几率

来源：Enterprise Strategy Group，2011 年。

流动性增加。 员工经常会使用笔记本、智能手机和平板电脑访问各种企业和消费者网页应用程序。虽然这种流动性可以促进生产率，但它也使管理设备配置、更新安全签名或监控可疑和/或异常行为更加困难。

大型企业都在对网页威胁管理进行投资

维基百科对“网络威胁”的定义如下：

“网页威胁是使用互联网促成网络犯罪的任何威胁。网页威胁中会使用各种恶意软件和欺诈手段，所有这些都使用 HTTP 或 HTTPS 协议，但也可能利用了其他协议和组件，如电子邮件或即时消息中的链接，或恶意软件的附件或在访问网络的服务器上。它们帮助网络罪犯们偷窃信息后出售，并将感染的计算机吸收到僵尸网络。

网页威胁会带来一系列风险，包括经济损失、身份被盗、丢失机密信息/数据、偷窃网络资源、损坏品牌/个人声誉，以及破坏消费者对电子商务和在线银行的信任。

鉴于网页威胁的普遍性、数量和增长，首席信息安全官们不断在特定网络安全防护方面投资。这在最近的ESG 研究中有相关说明。近三分之一的企业说过他们将在 2011 年投资对网页安全给予投资（见图 2）

图 2. 大型企业将投资网页安全

来源：Enterprise Strategy Group，2011 年

哪种网页威胁管理模式是最好的？

首席信息安全官们在寻找网页威胁管理技术保障时，经常遇到大量令人难以决定的选择。在供应商夸张的宣传中，许多安全执行官还面临一个新的抉择：他们是应该购买并实施传统的网关安全解决方案呢，还是放弃企业内部自建解决方案而选择 SaaS 云服务？

网页威胁管理网关非常适合大型且集中的企业

网页威胁管理网关位于网络进出点，可过滤和阻止恶意网页内容，如钓鱼漏洞、病毒、蠕虫、木马和僵尸网络等。为了保持防护功能，安全供应商经常需要在出现新恶意软件威胁时定期更新网页威胁管理网关的规则和签名。

过去，大型企业通常会选择企业内部自建的网页威胁管理网关。这些传统的“壁垒服务器”有如下一些优点：

* 高性能。 网关应用以“线速”运行，延迟时间最短，对网络性能的影响最小。有企业级的 IT、 网络和安全技术的大型企业很容易就可以实施并调整网关安全设备，使其能够为上千需要网络 的员工提供强大的安全防护而不会带来任何负面影响。

* 可自定义的策略管理和实施。 企业在监管、产业特定威胁和内部治理方面有各种各样的安全需求。为满足这些不同的需求，许多网关网页威胁管理设备都为策略管理和安全防范提供详细设置。这样，企业便可以根据特定用户、组、位置或一天中某段时间的特定需求来设置网页威胁管理网关，从而执行安全策略规则。

* 中央命令和控制。 因有多个机构或驻地而有多个网络进出点的大型企业可能需要多个网页威胁管理网关。为满足这种需求，先进的网页威胁管理网关可对多个设备进行集中的命令和控制。这样，首席信息安全官们可对多个网页威胁管理网关设备实施统一的策略，或根据特定需求设置某个设备。

* 集成其他安全功能。 在许多情况下，网页威胁管理还可在高性能安全网关上结合其他安全应用，如DLP、反病毒或 URL 过滤。这样大型企业就可以使用标准化的单一安全设备来降低成本、简化日常维护并集中进行维护和支持。集成的安全设备还可以通过关联事件和合并报告来提高整体安全性。

云技术网页威胁管理适合分布式企业

网页威胁管理网关最适合位于同一地点的数个机构的数千员工访问网络的大型集中企业。但在当今的全球商业环境下，许多企业具有高度分散的特质，经常有在分支办公室、远程甚至路上办公的移动员工。在过去几年里，越来越多的安全供应商采用了 SaaS 或云技术交付模式作为传统网关设备的补充。分布式企业可利用使用云技术交付模式的网页威胁管理，这种交付模式有以下优点：

* 部署和操作简单。 SaaS 是一种“总承包”式解决方案，无需购买、测试、部署或管理新设备。通过网页威胁管理服务，只需将所有网络进出流量路由到云端 IP 地址，然后所有网页威胁管理策略就在远程得到了执行。

* 有效且高效的防护。 由于云供应商是为大众设计的这种解决方案，因此 SaaS 解决方案主要针对最常见的攻击类型提供充分的防护。就网页威胁管理来说，这意味着这种云端服务会阻止恶意 URL 和内容、钓鱼网站和已知的恶意软件分发服务器。可以认为云端网页威胁管理服务一种 80/20 法则的体现。它们可能不会提供企业内部自建网关那样的自定义设置或安全集成，但它们能够对常见网页威胁提供有效且高效的防护。

* 支持远程办公室和移动工作者。 根据最近的研究，ESG 认为在远程和分部工作的员工比集中工作的员工有更大的安全隐患，特别是在计算机配置管理、终端用户培训和监测远程员工对敏感数据的使用方面3。这些有数十员工的远程办公室需要网页威胁管理，但由于在每个远程机构都部署网关设备在经济上或技术上是不可行的，于是云端服务这时便特别有吸引力。移动的工作者很少会在“防火墙后面”。因此，网关应用是无法在这方面提供任何防护的，而 SaaS 就成了理想的选择。

* 由于“网络效应”和“众包”的作用，云端安全服务还有一种潜在的安全优势。在这种模式下，所有云客户都是一名情报员，当他们发现了新攻击方式（如之前未发现的恶意代码或受到攻击的网址）时就会向云端报告。确定新的攻击后，云端安全社区中的所有其他人都能够受到保护。

图 3. 满足远程办公室/分支机构需求时面临的安全问题

来源：Enterprise Strategy Group，2011 年。

大型全球性企业需要混合式安全架构

部分企业倾向于根据单一决策点 - 企业是集中化企业还是分布式企业 - 来选择应用企业内部自建的网页威胁管理网关还是 SaaS 解决方案。但是许多全球性企业有分散的集中式驻地和许多远程办公室和移动工作者。那么他们应该选择企业内部自建设备还是云端服务，还两种解决方案都选呢？

很明显的是，大型全球性企业需要能够为所有员工和 IT 资产提供防护的网页威胁管理解决方案，不管他们位于数据中心还是远程办公室，还是通过公共网络访问应用程序。遗憾的是，这意味着要实施多家供应商的多个解决方案，为企业网络建立企业内部解决方案，同时为远程办公室和移动员工提供云端服务。是的，多个解决方案确实可以提供覆盖范围和防护，但这也会导致高成本和冗余的操作。

因此这里需要的应该是一种混合式架构，要结合现场设备的性能和管理优势，还要结合云端服务的灵活性和覆盖范围（见图 4）。

图 4. 混合式安全架构

来源：Enterprise Strategy Group，2011 年。

为满足大型全球性企业的需求混合式网页威胁管理架构必须包含：

* 集中化的管理和分布式的实施。 混合式网页威胁管理架构可提供一致的策略管理和安全防范，而不论这些活动发生于企业设备内还是在云端。设备和云端服务可通过统一的图形用户界面进行管理，而报表则可定制为提供整个企业的视图（如企业内部自建设备和云端服务的综合视图），或为各个分支地点提供统一的视图。

* 以云端为中心的智能。 威胁智能以云技术为坚实的基础，而用户和企业内部自建设备则通过如上文所述的众包作用贡献力量。可通过对企业内部自建设备的实时更新立即解决新威胁。

* 紧密集成。 企业内部自建和云端管理和实施可根据情况灵活应用。此外，混合式威胁管理架构还能够根据未来的各种需求随时扩展。例如，可通过 DLP 功能加强网页威胁管理，防范网络进入点的恶意代码攻击和网络出口的数据泄漏。

混合式网页威胁管理具有灵活而即时的安全优势

ESG 认为混合式架构可同时提供短期和长期的优势，而且几乎立即见效。混合式网络安全架构可提供这些优势的原因是：

* 改善了远程工作者的安全性。 根据 ESG 研究，远程办公室的 IT 支持面临诸多安全问题，包括网页威胁管理（见图 3）。而且移动工作者同样有这些安全问题。混合式网页威胁管理架构可提供简洁而有效的解决方案，因为它减少了部署新设备或一次性SaaS 安全服务的需求。而且，首席信息安全官们可利用集中的 IT 安全技术和一流的网络安全工具来实现地毯式覆盖，无论员工的地理或网络位置在哪。结果？即时的安全改善，直接解决了 ESG 研究报告中发现的一些问题。

* 提供全局可见性和控制能力以迅速发现并解决问题。 由于现在 APT 等网络攻击已经非常成熟，一个设备受到攻击就会造成严重的数据泄露。要解决这个风险就要对所有设备和活动进行监控。由于混合式网页威胁管理架构能够提供集中的命令与控制、策略管理和报告，首席信息安全官们可以了解并监督所有设备以及在整个网络中的安全防范活动。这种可见性和控制能力可加快问题发现和解决的速度。

* 创建一个云迁移路径。 混合式网页威胁管理架构结合了企业内部自建设备和云的优势。这可以提供全面的覆盖范围。但有些企业可能希望慢慢地将网络和其他威胁管理工作都交给云端，特别是在云安全服务成熟之后。混合式网页威胁管理架构提供了灵活的安全迁移路径。首席信息安全官们可以方便地调整网络设置、将网络设备更换为云服务，并在云经济和安全技术成熟时利用这方面的优势。

网页安全论文篇11

3、木马病毒主要传播途径依次为网络下载、USB设备感染、挂马网页攻击。相比去年同期，挂马网页攻击数量大幅缩水至2009年的1/9，每天约有130万人次受到挂马网页攻击，超过80%的挂马网页一旦检测到访问者电脑安装了360安全卫士，会主动放弃攻击。不良下载站的恶意下载链接则一跃成为木马病毒感染网民电脑的最主要方式；

4、全球最大的云安全体系——360云安全体系极大地压缩了木马的生存空间，并大幅缩短了其存活周期，于是木马开始“进化”其攻击手段：第一，对抗能力更强，破坏安全软件、屏蔽云安全服务器；第二，转向攻击流行应用软件，利用寄生、感染、改装等方式，木马把输入法、浏览器、聊天工具、下载工具等热门应用软件当成了逃避查杀、隐蔽启动的“保护伞”，其威胁程度已超过Windows操作系统漏洞攻击；

5、钓鱼、欺诈成为仅次于木马的网络安全威胁。今年上半年，钓鱼网站数量平均每月新增11630家，360安全卫士、360安全浏览器、360木马防火墙、360网盾等产品平均每天为用户拦截约500万次钓鱼、欺诈网页访问，而这两项数据仍处于高速增长状态，目前每月新增钓鱼网站数量已超过4万家。

6、在“流氓网站”产业链中，不良网址导航站为木马团伙输送金钱，作为开发和制作木马的经济后盾；不良下载站为木马传播提供了主要通道；钓鱼欺诈网站则是通过不良网址导航站上投放广告、搜索引擎等方式从事非法诈骗活动，直接骗取受害网民的钱财。

据360安全中心上半年统计，目前国内共计有上百家不良网址导航站通过木马渠道进行推广，累计影响上亿网民电脑，代表着年产值超过30亿的灰色经济利益；每天活跃的钓鱼网站数量在10万家以上，根据其诈骗手段和攻击数量、攻击成功率估算，网络钓鱼给网民和社会带来的直接与间接经济损失超过了120亿元。

目录

一、2010年上半年木马病毒疫情

1、木马病毒的增长趋势

2、网民电脑受木马病毒攻击的情况

3、360查杀木马病毒数量

4、主要木马种类及流行性分析

5、360查杀量最高的木马TOP10

6、木马“进化论”和典型案例

二、木马病毒的传播方式

1、木马传播途径统计

2、遍布“地雷”的不良下载站

3、数码产品普及加剧U盘木马和病毒传播

4、挂马网页攻击缓解

5、重要安全漏洞

三、2010年上半年钓鱼网页统计分析

1、钓鱼网页诈骗手段解析

2、钓鱼网页的类型

3、钓鱼网页的传播方式

4、新增钓鱼网页数量

5、钓鱼网页服务器地域分布

一、2010上半年木马病毒疫情

1、木马病毒的增长趋势2010上半年，360“云安全”系统共截获各类新增木马病毒样本1.01亿个(以新增的恶意程序文件指纹数量计算)，相比去年同期增长了3.5倍。尤其在5月和6月，流氓广告程序带动了新增木马病毒数量大幅上升。

2、网民电脑受木马病毒攻击的情况通过360“云安全”系统的监测数据、国内安全软件普及情况以及木马病毒的传播范围测算，国内平均每天约有263万网民电脑感染木马病毒。

3、360查杀木马病毒数量以清除的恶意程序文件数量计算，360安全卫士和360杀毒在2010年上半年累计为用户查杀了88亿次木马病毒，而去年同期的这项数据为20亿次，增长3.4倍，和木马病毒的新增倍数基本符合(后者相比去年同期增长了3.5倍)。

4、主要木马种类及流行性分析按照木马病毒的流行度统计，以恶意点击器为代表的流氓广告程序、网游盗号木马、QQ盗号木马、远程控制木马(控制“肉鸡”)、木马下载器、恶意脚本程序、伪装文件(文件夹)类U盘病毒是感染量感染量最高的七大类木马病毒。

其中，流氓广告程序是网民最常遇的一类木马，它的主要危害是绑架浏览器首页和桌面图标，强制访问不良网址导航。在网民电脑遇到的各种安全问题中，流氓广告程序所占的比例约为70%。

2010上半年，超过100家大大小小的网址导航站使用了木马渠道进行推广，强制篡改中招用户浏览器首页。此外，大量木马恶意推广淘宝客、网页游戏、在线影院等网赚项目，在电脑桌面制造广告图标，使用技术手段让用户难以删除。

流氓广告程序之所以在2010年数量暴涨，一个重要原因是“小耗子”木马案引发连锁反应。2009年底，警方通过“小耗子”木马案挖出完整木马产业链，有着国内最大“黑客培训基地”之称的黑鹰安全网关闭，大批从事计算机犯罪活动的不法分子入狱。在严打震慑下，很多木马团伙转向法律风险相对较低的流氓广告程序，而不良网址导航站则成为这类木马的经济后盾。

5、360查杀量最高的木马TOP10榜

在2010年上半年十大木马病毒中，排名第一的Win32/Lmir.KB是一类专门劫持dll文件的木马程序，常见于“犇牛”等恶性木马下载器中，360对这类木马的查杀量约为3833万次；排名第二的TR/Hijacker.Gen则是一类对抗安全软件的顽固木马；其它查杀量较高的木马包括了多种篡改IE首页木马和盗号类木马。

6、木马“进化论”和典型案例

在巨大经济利益驱动下，尽管新木马源源不断出现，但是在3亿用户和上万台服务器的360云安全体系下，木马生存空间越来越小，存活周期越来越短。

主要原因在于，360安全卫士和360杀毒的“云查杀引擎”采用了白名单和黑名单相结合的机制。传统杀毒技术是基于病毒库黑名单的防护和查杀，而360云查杀一方面能查杀黑名单中的已知木马病毒，另一方面对系统敏感位置采用了“非白即黑”策略，也就是说，白名单以外的未知程序无法自动运行并产生危害，使用户电脑的安全性得到革命性的提升。

同时，360白名单覆盖了99%以上国内网民常用的操作系统和软件的各个版本，在大幅超越传统杀毒技术查杀能力的情况下，还能有效防范误报误杀。在此背景下，木马技术也悄然发生了一些“进化”：

1)从各个方面破坏安全软件，比如阻止安全软件的安装和运行，暴力关闭安全软件的监控，屏蔽云安全服务器，使用户无法正常使用云查杀功能。

典型案例：“呜呜祖拉”木马下载器。该木马在世界杯期间流行，电脑一旦中招，该木马会自动阻止用户下载安装360安全卫士、360杀毒以及360系统急救箱等专业安全软件，并通过劫持DNS解析的方式屏蔽云安全服务器。

2)攻击流行应用软件。利用寄生、感染、改装等方式，木马把输入法、浏览器、聊天工具、下载工具等流行应用软件当成了逃避查杀、隐蔽启动的“保护伞”，甚至某些安全软件的漏洞也被木马利用，篡改锁定受害网民电脑的浏览器首页。

典型案例：金锁木马。从今年4月份开始，一类名为金锁的木马开始流行，它们利用某安全软件的漏洞，把该软件的Kwssp.dll、kwsui.dll、KSWBC.dll、kswebshield.dll、KSWebShield.exe提取出来，再在配置文件kws.ini中写入了黑客想推广的任意恶意网址，就会让中招用户电脑每天被迫访问这些恶意网址，而且很难修复。

3)MBR感染(感染系统引导区)，格式化硬盘也无法清除。电脑硬盘在分区时会预留一部分空间用来存放一些缓存文件，由于这个空间是隐藏的，杀毒软件无法对此进行扫描，一些木马开始采用Rootkit技术感染这一系统引导区。

典型案例：鬼影/魅影木马。该系列木马通常和“飓风影音”播放器捆绑在一起，通过MBR感染具备了极强的复活能力，能够反复下载盗号木马和流氓广告程序攻击中招电脑。

4)利用数字签名来逃避查杀，相当于有“身份证”的木马。由于大多数杀毒软件会信任带有真实数字签名的文件，一些木马也开始利用数字签名进行掩护。木马使用数字签名有两种情况，一种是盗用正规软件厂商外泄的签名，另一种是专门为作恶而注册签名。

典型案例：2009年底，360安全中心率先截获了首个具有真实数字签名的“执照凶手”木马。进入2010年，这类带有数字签名的木马仍然在不断涌现，例如一个名为“桌面推广助手”的木马下载器，它在运行后会自动下载两个木马程序，并自动下载安装某款浏览器以及某款网络游戏大厅客户端。

新生代木马对安全行业提出了严峻挑战，为此，360安全卫士推出能够全方位、多层次安全防护的“木马防火墙”，在“系统防护”之外新增了“应用软件防护”，同时针对木马的传播途径、攻击手段、感染方式进行全面拦截，并不断强化安全软件的自我保护能力，修复防御弱点，目前已经取得了良好的成效。

二、2010上半年木马病毒的传播方式

1、木马传播途径统计

根据360安全中心监测的情况，2010上半年，木马病毒主要传播途径依次为网络下载、USB设备感染、挂马网页攻击。

网络下载包括不良下载站的恶意下载链接和其它文件共享/传输方式，是目前木马病毒感染网民电脑的最主要方式，比例约为55%。

其次为USB设备感染，主要是移动硬盘、U盘、数码相机、手机存储卡等USB设备和电脑间交叉感染，比例约为30%。

得益于360安全卫士的普及和网民打补丁意识的增强，今年上半年通过挂马网页传播的木马病毒比例仅为10%左右。值得注意的是，黑客已经发现挂马攻击对于360用户徒劳无功，绝大多数挂马网页(超过8成)会自动检测访问者电脑中是否装有360安全卫士，如果是360用户则主动放弃攻击。

2、遍布“地雷”的不良下载站

这是某家知名软件下载站的下载页面。当网友想下载Adobe Photoshop软件时，面前的下载链接让人眼花缭乱，上图中标注了编号为1、2、3、4、5的五个图片按钮，鼠标点哪个钮能下载到Photoshop呢？

答案是：都不能！这五个图片下载按钮全部指向了一个共同的流氓广告程序，也就是近期非常流行的金锁木马。

无论点哪一处，网友以为下载了Photoshop，其实一打开却是金锁木马。它会篡改并锁定中招电脑IE首页为67160网址导航，并在电脑桌面生成恶意广告图标。

为什么下载站敢于如此肆无忌惮地传播流氓广告程序？利益诱惑恐怕是少不了的。另外，流氓广告程序本身也缺乏相应的法律监管，比传播盗号木马等直接盗取帐号和隐私的木马病毒风险小得多。有了大批下载站助纣为虐，这才是广大网民IE首页频繁中招的真实原因。

对于网络下载风险加剧的情况，360全线产品相继完善了防护功能。其中：360杀毒软件支持迅雷、快车等主流下载工具，即时扫描下载文件的安全性，并支持QQ、MSN、阿里旺旺等聊天工具的文件传输扫描；

360安全卫士的“360网盾”模块具备“下载云安全”功能，可以快速检测鉴定IE、迅雷等下载的文件是否安全，并作出相应的操作建议；

360安全浏览器3.5Beta版自身也推出了能够检测下载链接的防护功能，在文件下载之前对危险下载行为进行预警。

3、数码产品普及加剧U盘木马和病毒传播

手机、数码相机、移动硬盘等数码产品普及，手机和电脑间、数码相机和电脑间少不了传输文件，比如音乐、照片等等；移动硬盘则被用来拷贝影视剧视频、大型游戏；对很多办公族和学生族来说，在打印店打印资料时也不得不用到U盘。

在日益频繁的应用中，USB移动存储设备成了仅次于网络下载的第二大木马病毒传播途径，如果有一台电脑或是移动存储带有木马病毒，就会在接入USB设备时发生“接触”感染，继而就是大面积的交叉感染。目前U盘病毒主要以两种方式传播：

第一种是伪装U盘上的正当文件或者文件夹，把真正的用户资料隐藏起来，再诱使用户打开病毒的程序或是脚本；第二种则是利用系统“自动播放”功能的autorun类U盘病毒，但由于很多安全软件会提示用户关闭“自动播放”，这类U盘病毒已经不再流行。

所幸的是，360杀毒软件针对U盘病毒的传播方式独创了“U盘病毒监控技术”，只允许经过安全认证的可信程序在USB设备中运行，其它陌生程序和脚本则一律禁止运行。因此即便是最新病毒，也无法通过USB设备感染360杀毒用户的电脑。

4、挂马网页攻击缓解

2010上半年，每天约130万人次受到挂马网页攻击，仅为去年同期的1/9，黑客通过挂马网页传播木马的势头已经大为减缓，但并不排除在新的高危0day漏洞爆发时，挂马网页会重新成为木马传播的主流途径。

黑客在使用挂马网页传播木马时，挂马网页是木马攻击网民电脑的前线，通常是黑客通过入侵、收买等方式挂马，一般是人气较高的网站；木马网站则是黑客用于存放和部署木马下载、更新的网络站点。

也就是说，如果一台电脑既没有打补丁修复漏洞，也没有安装360安全卫士进行防护，当它访问挂马网页时，电脑就会自动下载运行黑客存在木马网站上的木马。

360安全中心监测到：今年1至6月间，国内共有80.53万个网站存在挂马情况，恶意链接最多的不再是.cn域名，而是.com域名，这和国家有关部门对CN域名加大管理力度有关。此外，gov.cn和edu.cn的安全情况不容乐观，各有2千多个网站被挂马。

从挂马网页的地域分布来看，北京、江苏、广东、上海、浙江、福建是比例最高的几个地区。同期，360安全中心共捕获到18364个木马网站。木马网站使用最多的是org域名，比例为49.10%，如3322.org、8866.org等二级免费域名是木马网站经常使用的。今年上半年，木马网站也转向了更多其他域名上，比如fr、co、cc等等。

5、重要安全漏洞

IE极光漏洞：2010年1月，Google等高科技公司被曝遭到黑客攻击，始作俑者就是IE极光漏洞。1月17日，国内互联网出现攻击该漏洞的挂马网站；1月18日，360紧急提供临时补丁；1月22日，微软正式补丁修复了漏洞。

HCP协议漏洞：2010年3月，微软证实IE浏览器存在一个“F1按键漏洞”，该漏洞需要网民主动按下F1键才能触发攻击，因此互联网上仅出现了少量针对该漏洞的零星攻击，360通过升级拦截规则进行防御。4月，微软正式补丁修复了该漏洞。

IE内存破坏漏洞：2010年3月，IE浏览器再次曝出“内存破坏”0day漏洞，并成为今年国内挂马网站最热衷攻击的对象，而360网盾无需升级即可拦截该漏洞攻击。在漏洞曝光20天之后，微软于3月31日修复了IE内存破坏漏洞。

HCP协议漏洞：2010年6月，微软证实Windows XP系统存在HCP协议漏洞，利用该漏洞，挂马网页的恶意脚本会自动打开Windows“帮助和支持中心”，从而下载并运行木马，360再度临时补丁屏蔽了该漏洞攻击。根据微软公布的数据，中国网民受该漏洞影响极小。在漏洞曝出后一个月，微软于7月中旬补丁进行修复。

三、2010年上半年钓鱼网站统计分析

钓鱼欺诈成为仅次于木马的严重危害。今年上半年，钓鱼网站数量平均每月新增11630家，360平均每天为用户拦截约500万次钓鱼欺诈网页访问，而这两项数据仍处于高速增长状态，目前每月新增钓鱼网站数量已超过4万家。

1、钓鱼网站诈骗手段解析

以前，钓鱼网站就是指一些假冒官方网站页面的网站，比如假冒的银行登录页面、假冒的网络游戏官网等等。这些都是利用人们很熟悉的软件、网站、公司或机构的信息，来构造一个假的页面，等人们在这些网站上输入自己的帐号密码来达到钓鱼的目的。

近年来，随着网络应用的不断丰富，人们开始习惯于在网络上浏览、查找信息、购买商品，于是各种新的钓鱼形式开始不断涌现，而且这些网站也不仅仅是通过模仿官方页面来钓鱼，而更多的涉及虚假信息来达到欺诈的目的。

2010年上半年，360安全中心共截获超过10万个域名涉及钓鱼欺诈，其中虚假中奖、各种预测、股票预测、虚假购物是钓鱼欺诈中最多的类型。钓鱼产业链十分巨大，通过搜索、IM、广告，很容易进行传播，普通网民往往缺乏对钓鱼网站的了解，在交易或追逐金钱利益的过程中往往自投罗网。

更有甚者，一些不法分子用群发短信、语音电话等方式，把很多原本不熟悉互联网的人也拖下水。相对于木马，钓鱼欺诈给网络安全带来的问题更为复杂，商业利益经济利益掺杂其中，也给反钓鱼欺诈带来很多困难。

为此，360安全中心正在不断加大反钓鱼欺诈的力度，通过360安全卫士和360安全浏览器拦截网上的各种钓鱼欺诈信息，保护用户的财产安全。

2、钓鱼网页的类型

(1)各种中奖骗局

这些网站的内容以模仿游戏网站、QQ、CCTV等知名栏目、门户网站等中奖、奖励信息为主，冒充官方活动专区，页面和官方网站极为相似，用来骗取访问者的QQ、游戏账号密码或者是骗中奖者支付领取奖品的相关费用。

(2)各种预测网站

这些网站会利用彩民梦想中大奖的心理，进行各种收费预测，网站上会列出很多预测准确的记录来骗取彩民信任，吸引彩民加入会员，购买所谓专家的预测资料，大部分网站还会打出中国福利的官方字样，甚至还有不少是涉及、方面的网站。彩民如果相信了他们所谓的预测号码、操纵比赛、预测比赛结果的骗局，往往都会损失惨重。

(3)黑马股票的骗局

这些网站会使用知名证券公司的名称，或者干脆使用一些不存在的证券公司名称来构建网站，网站以提供保证高额利润为诱饵，向股民推荐涨停股、黑马股，向被骗股民收取高额会员费、保密费，甚至是直接让股民投资给他们做炒股。受骗股民往往会损失几万或数十万。

(4)虚假购物网站

这类网站会在网民购物时出现在买家或卖家的QQ/旺旺上，买卖双方经常发送各种与商品有关的链接，而钓鱼网站就会掺杂其中，页面通常会模仿淘宝、拍拍、支付宝、财付通等与购物有关的网站，骗取账号密码或钱财。另外还有一些用极低价格来吸引顾客的购物网站，钻石、手表、手机、充值卡，也是涉及购物欺诈的一种。

(5)仿冒官方网站登录

无论我们在网络上做什么，最常遇到的就是需要输入注册账号，输入用户名、密码。各种模仿官方网站登录的钓鱼，仿真度非常高，和官方网站几乎是一模一样，IM、网络游戏、邮箱、购物网站、银行，几乎只要是可以登录的网站，就有相应的钓鱼网站。

(6)仿冒的医疗、药品相关网站

近年来，销售假药、劣质药品、假冒医疗机构的现象也时有发生，这类网站也是钓鱼欺诈的重要类型。这些网站的危害不止是骗人钱财，更重要的是会影响人的健康。

(7)假冒的下载站

这类假冒的下载站，往往有着和官方下载页面相似的页面，但是却提供含有木马的下载链接，这属于用钓鱼的方式来推广木马。

3、钓鱼网页的传播方式

(1)通过QQ、MSN、旺旺等IM客户端，发送钓鱼链接，链接往往具有迷惑性，会用与官方网站域名很相似的链接

(2)在论坛、博客、微博、问答类网站等链接，往往会用“我知道一个特别好的网站”等等的推荐方式。

(3)通过邮件，假冒管理员来发送钓鱼网站。

(4)在网站上制作假的仿冒QQ、360等知名软件的弹窗，吸引用户进入钓鱼网站。

(5)在搜索引擎或一些专给钓鱼网站做广告的网站中投放广告，在用户搜索某些关键词时，容易进入广告链接。

4、新增钓鱼网页数量

网页安全论文篇12

Internet已渗透到了社会的各个领域，不仅影响着我们的学习和工作，在Internet的发展中，WWW的发明和迅速推广应用是一个重要的里程碑。网页设计作为一门新兴的技术，是介于平面设计、编程技术两者之间的一门学科，它还涉及到美学心理、平面构成、色彩搭配等平面设计方面的知识。只有综合运用多种知识，才能设计出视听特效、动静结合、人机交互的WEB页面。

电子商务网站是一个非常丰富和方便的系统，很多是过去无法想像的，随着今天的社会的发展以及科学技术的发展，现在都可以想像得到。由此可以想像到未来的网页设计，那时候网页设计的要求是什么呢？怎样才能适应电子商务的发展呢？我有以下几点想法:网页能具有人性化;网页要具有相当的美感;网页更加强调交互性。

二、电子商务网站的安全现状

电子商务网站安全主要涉及网络信息的安全和网络系统本身的安全。电子商务网站安全的隐患主要来自操作系统、网络和数据库的脆弱性以及安全管理上的疏忽。电子商务网站安全从本质上讲就是网络上信息的安全，包括静态信息的存储安全和信息的传输安全。从广义上讲，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。因此为了保证网络的安全，必须保证以下四个方面的安全：运行系统的安全；

网络上系统信息的安全；网络上信息传播安全；网络上信息内容的安全。

以下是对目前国内电子商务站点普遍存在的几个严重的安全问题的一些分析。

1.客户端数据的完整性和有效性检查

(1)特殊字符的过滤

在W3C的WWWSecurityFAQ中关于CGI安全编程一节里列出了建议过滤的字符：&;“”\“|*?-＜＞^()[]{}\n\r，这些字符由于在不同的系统或运行环境中会具有特殊意义，如变量定义/赋值/取值、非显示字符、运行外部程序等，而被列为危险字符。

①CGI和Script编程语言的问题

在几种国内常见的WEB编程语言中，ASP和ColdFusion脚本语言对特殊字符的过滤机制不够完善，例如没有对单引号做任何处理等。Perl和php对特殊字符的过滤则较为严密，如忽略或加上“\”（取消特殊字符含义）处理。C语言编写的cgi程序对特殊字符的过滤完全依赖于程序员的知识和技术，因此也可能存在安全问题。

②MicrosoftASP脚本

普遍存在的问题是程序员在编写ASP脚本时,缺少或没有对客户端输入的数据/变量进行严格的合法性分析。因此,如果攻击者输入某些特定sql语句,可能造成数据库资料丢失/泄漏/甚至威胁整个站点的安全。比如攻击者可以任意创建或者删除表（如果可以猜测出已存在的表名），清除或者更改数据库数据。攻击者也可能通过执行一些储存过程函数,将sql语句的输出结果通过电子邮件发送给自己，或者执行系统命令。

③PHP和Perl

虽然提供了加上”\”（取消特殊字符含义）处理的手段，但是处理一些数据库时依然可以被改写。对于MySQL则没有问题，\’不会与前面的单引号封闭，而当作一个合法的字符处理。针对oracle和informix等数据库暂时未进行相关测试。

另外，对于PHP或者Perl语言，很多程序对于数字类型的输入变量，没有加单引号予以保护，攻击者就有可能在这种变量中加入额外的SQL语句，来攻击数据库或者获得非法控制权限。

(2)数据库问题

不同的数据库对安全机制的不同认识和实现方法，使它们的安全性也有所不同。最常见的问题是利用数据库对某些字符的不正确解释，改写被执行的SQL语句，从而非法获得访问权限。

2.大量数据查询导致拒绝服务

许多网站对用户输入内容的判断在前台，用JavaScript判断，如果用户绕过前台判断，就能对数据库进行全查询，如果数据库比较庞大，会耗费大量系统资源，如果同时进行大量的这种查询操作，就会有DenialofService（DoS——拒绝服务）同样的效果。

三、措施与解决方案

通过查阅一些资料，下面介绍一些网页制作中安全防范的方法，以供大家参考。

1.防范脚本攻击

(1)JS脚本和HTML脚本攻击的防范其实很简单，只要用server.HTMLEncode（Str）就可以了。当然全以＜%=uid%＞过滤，为了方便的过滤，只需要将HTML脚本和JS脚本中的几个关键字符过滤掉就可以了，如下代码所示：

以下是过滤函数CHK()

＜%

functionCHK(fqyString)

fqyString=replace(fqyString,“＞”,“＞”)

fqyString=replace(fqyString,“＜”,”＜“)

fqyString=replace(fqyString,“&#”,“&”)

fqyString=Replace(fqyString,CHR(32),“”)

fqyString=Replace(fqyString,CHR(9),“”)

fqyString=Replace(fqyString,CHR(34),“”“)

fqyString=Replace(fqyString,CHR(39),”‘“)

fqyString=Replace(fqyString,CHR(13),”“)

fqyString=Replace(fqyString,CHR(10)&CHR(10),”＜/P＞＜P＞“)

fqyString=Replace(fqyString,CHR(10),”＜BR＞“)

CHK=fqyString

endfunction

%＞

(2)很多站点在用户注册，或者是用户资料修改的页面上也缺少脚本的过滤，或者是只在其中之一进行过滤，注册进入后修改资料仍然可以进行脚本攻击。对用户提交的数据进行检测和过滤如以下代码：

IfInstr(request(”username“),”=“)＞0or

Instr(request(”username“),”%“)＞0or

Instr(request(”username“),chr(32))＞0or

Instr(request(”username“),”?“)＞0or

……

Instr(request(”username“),”＞“)＞0or

Instr(request(”username“),”＜“)＞0or

Instr(request(”username“),”“”“)＞0then

response.write”朋友，你的提交用户名含有非法字符，请更改，谢谢合作＜ahref=’****:window.history.go(-1);‘＞返回＜/a＞“response.end

endif

2.防范sqlinjeciton攻击

从最一般的.SQLInjection漏洞攻击来看，主要在用户名和密码上的过滤问题，提交：用户名为：‘or’‘=’用户密码为：‘or’‘=’从程序出发，数据库在执行以下操作Sql=“SELECT*FROMlUsersWHEREUsername=”or“=”andPassword=“or”=“”时，SQL服务器将返回lUsers表格中的所有记录，而ASP脚本将会因此而误认为攻击者的输入符lUsers表格中的第一条记录，从而允许攻击者以该用户的名义登入网站。对此类注入的防范可以利用以下代码就可以实现strUsername=Replace(Request.Form(“Username”),“‘’”,“‘’‘”)

strPassword=Replace(Request.Form(“Password”),“’‘”,“’‘’‘”)

3.防止ASP木马

防止ASP木马被上传到服务器的方法很简单，如果你的论坛支持文件上传，请设定好你要上传的文件格式，我不赞成使用可更改的文件格式，直接从程序上锁定，只有图象文件格式和压缩文件就完全可以，因为多给自己留点方便也就多给攻击者留点方便。怎么判断格式，如下面代码所示：

判断文件类型是否合格

PrivateFunctionCheckFileExt(fileEXT)

dimForumupload

Forumupload=”gif,jpg,bmp,jpeg“

Forumupload=split(Forumupload,”,“)

fori=0toubound(Forumupload)

iflcase(fileEXT)=lcase(trim(Forumupload(i)))then

CheckFileExt=true

exitFunction

else

CheckFileExt=false

endif

next

EndFunction

上述介绍的一些安全防范的方法在编写网页代码时被常用到，这些代码还是较为基本的一些代码，但能有效的防止一些黑客的攻击，当然加入了这些代码可能会降低程序的使用效率。做为一名网站的管理人员或网页制作人员在进行网页制作和网站维护时应加强安全防范的意识，确保在网络上进行数据传输的可靠性。

网页安全论文篇13

随着科学技术的突飞猛进，社会信息化的快速发展, 以信息技术为主要标志的高新技术革命已经引起了社会各个领域的深刻变革，网络已经成为社会生活不可分割的一部分。每天有数以亿计的网民在互联网上浏览、信息，互联网已经成为信息时代最为重要的信息集散地。对于边防情报部门而言，研究如何通过互联网和公安网快速高效地进行情报收集，使各项工作都围绕收集、运用情报而展开，已经成为当务之急。Web数据挖掘技术的兴起，为边防情报部门开展工作提供了高效的工具与手段。

一、Web数据挖掘技术

Web数据挖掘技术是由传统数据库领域的数据挖掘技术演变而来。数据挖掘就是从大量的、不完全的、有噪声的、模糊的、随机的原始数据中，提取隐含在其中的、事先未知的、但又潜在有用的信息的过程；它是从数据仓库中提取出可信的、新颖的、有效的，并能被人理解的模式的高级处理过程。数据挖掘出现于20世纪80年代，它不仅面向特定数据库的简单检索查询调用，而且要对这些数据进行深入的统计、分析和推理，发掘数据间的相互关系，完成从业务数据到决策信息的转换。数据挖掘技术把人们对数据的应用，从低层次的末端查询提高到为决策者提供决策支持。随着互联网的蓬勃发展，数据挖掘技术被运用到网络上，并根据网络信息的特点发展出了新的理论与方法，演变成为Web数据挖掘技术。Web数据挖掘是指从与WWW有关的资源和行为中抽取人们感兴趣的、有用的模式和隐含信息，所挖掘出的知识能够用于信息管理、查询处理、决策支持、过程控制等方面。Web数据挖掘已经成为对互联网信息进行深度分析、开发与利用的重要手段。

二、Web数据挖掘的分类

（一）Web内容挖掘

Web内容挖掘是指从互联网上检索资源，从相关文件内容及描述信息中获取有价值的潜在信息。根据处理对象的不同，Web内容挖掘分为文本挖掘和多媒体挖掘。网上信息形式多以文本信息的形式存在。文本可以被看作是一种顺序数据，目前有许多适合于顺序数据的挖掘方法。Web文本信息挖掘的主要任务一般限定在文本特征的表示、文本的总结，以及文本的分类和聚类等方面。互联网现有大量多媒体信息。对该类信息进行分析挖掘，找出合适的描述模式，阐述并理解其中的意义，可提高该类信息的识别度及检索效率，也是Web多媒体挖掘的目标。论文大全。目前此方面应用的技术手段主要是语音信息的理解及识别、图形图像信息的理解及识别，以及信息检索等。

(二) Web结构挖掘

Web结构挖掘的目标是Web文档的链接结构，目的在于揭示蕴涵于文档结构中的信息，主要方法是通过对Web站点的结构进行分析、变形和归纳，将Web页面进行分类，以利于信息的搜索。对Web页的链接结构进行分类，可以识别判断页面与文档间的各种属性关系。由于Web页的内外部存在具有各种属性关系的结构信息，通过研究Web结构信息，可得到相关主题、相关分类的页面集合，生成关于某个Web站点的结构和页面结构的概括信息。因此，结构挖掘的重点在于链接信息。

(三) Web日志挖掘

Web日志挖掘是从服务器访问日志、用户策略、用户对话和事物处理信息中得到用户的访问模式和感兴趣的信息，并尽可能预测用户的行为。通过对用户所访问页面、文档等的技术分析，Web日志挖掘可以找出相关主题间、相关内容间的联系规律。访问分析又称使用分析，主要使用用户基本信息如IP、ID、URL、日期、时间等进行处理。由于Web服务器的Log日志存在完整的结构，当用户访问Web站点时，相关的页面、文档、链接等信息在日志中都做了相应的记录。Web日志挖掘不仅要找出用户经常访问的URL路径，而且也要找出用户有可能要访问的相关站点的链接。利用这种方法，可以获知互联网使用者的行为偏好。

三、Web数据挖掘的主要方法

（一）统计分析方法

统计分析（statistical）方法是通过对总体中的样本数据进行分析，从而描述和推断能够揭示总体中的内部规律的信息和知识的方法。为了适应复杂信息的挖掘需求，往往依赖有明确目标和任务的概率模型。数据挖掘的统计模型要适合于所要提取的对象。利用统计分析技术可以对我们感兴趣的内容进行蕴含信息的挖掘。如对互联网日志进行统计可以获得有关站点使用的基本信息，包括页面访问次数、日平均访问人数、最受用户欢迎的页面等。除此以外，还可以进行错误分析，如非法用户登录等。这些统计数据都是基于用户浏览页面的时间、用户的浏览路径和路径长度等信息。这些统计数据对于提高系统的性能、安全性以及优化站点结构大有帮助。目前已有许多互联网流量分析工具实现了这些基本的统计功能。

（二）关联分析方法

关联分析（associationanalysis）用于发现关联规则，所谓关联规则是指在大量的数据中所隐含的项集之间的关系以及项集的频繁模式。用户在浏览网页时，经常会在同一次访问中浏览一些无顺序关系的页面集合，挖掘发现的这些页面之间内在的联系，就是就表现为它们之间存在一定的关联。如果关联规则中的页面之间没有超链接，则应该引起我们的特别关注。通常使用可信度、支持度、期望可信度和作用度这四个参数来描述关联规则。

（三）分类方法

分类（classification）是找出描述并区分数据类或概念的模型（或函数），以便能够使用模型预测类标记未知的对象类。分类不同于聚类，聚类无须事先制定标准，而能从信息本身出发，利用算法自动分类；而分类的准则是事先定好的。在Web数据挖掘中，分类主要是将用户配置文件归属到既定的用户类别，网页根据内容的属性分类等。分类技术要求抽取关键属性描述已知的信息，可以通过指导性归纳学习算法进行分类，主要包括决策树分类法、贝叶斯分类法、最近邻分类法等。

（四）聚类分析方法

聚类（clustering）就是将数据对象分组成为多个类或簇，在同一个簇中的对象之间具有较高的相似度，而不同簇中的对象差别较大。聚类分析能够将一批数据按照它们在性质上的亲密程度，在没有先验知识的情况下自动进行分类，每一类都是大量具有相似性个体的集合，不同类之间具有明显的区别。聚类分析是一种探索性分析，在分类过程中，人们不必事先给出一个分类的标准，聚类分析能够从信息本身出发，自动进行分类。例如在Web日志挖掘中，聚类分析主要集中于用户聚类和页面聚类。用户聚类将具有相似浏览行为的用户归类；页面聚类则是将内容相关的页面归类，搜索引擎可以利用这些信息为某个查询提供用户感兴趣的相关超链接。

四、Web数据挖掘在边防情报工作中的应用模式

（一）Web数据挖掘在建立公安网搜索引擎中的应用

目前，边防情报部门所需的公开信息大部分来源于互联网和公安网，情报人员通过使用搜索引擎来快速查询需要的信息，然而公安网的搜索引擎存在较大局限性，搜索出来的结果存在大量冗余信息，不能满足情报人员的需求。因此，在搜索引擎中通过借鉴Web数据挖掘技术可以有效地提高查准率和查全率，从而给情报人员提供较有准确的信息。具体应用方法如下:

1.根据公安网的页面内容，自动形成摘要

目前，使用公安网搜索引擎进行检索，检索的结果文档是以简单摘要形式出现的，它表现为机械地提取网页内容取前几句为摘要，这种仅通过位置进行自动摘要是很难真正反映出网页中的信息内容。论文大全。在文本挖掘中的文本抽取技术是指从文档中抽取出关键信息，然后以简洁的形式对文档的信息进行摘要或描述，即文本抽取技术是根据Web文档本身的内容，从Web页中提炼出重要信息形成文档摘要，而不是根据位置来进行文本内容的概括，因此它更能够反映出Web文档中的真正信息。论文大全。这样，情报人员通过浏览关键词就可以了解网页的大致内容，从而决定是否使用该信息。

2.根据检索结果，自动进行文档聚类

文本聚类是文本分类的逆向过程，是指将文档集中的文档分为更小的簇，要求同一簇内文档之间的相似性尽可能大，而簇与簇之间的关系尽可能小，这些簇相当于分类表中的类目。情报人员在使用搜索引擎时，会得到大量的返回信息组成的线性表，而其中很大一部分是与其查询请求不相关的，于是通过对检索结果的文档集合进行聚类，可以使得与用户检索结果相关的文档集中在一起，并远离那些不相关的文档。再将处理以后的信息以超链接结构组织的层次方式可视化地提供给情报人员，从而大大减短浏览时间。

（二）Web数据挖掘在建立公安网站中的应用

公安网网站是公安网信息的容纳处，我们可以利用Web数据挖掘技术有效地组织网站信息，建立一个资源优化的网站，也就是说通过对网站内容的数据挖掘，主要是对文本内容的挖掘，如采用自动归类技术实现网站信息的层次性组织；以及结合对用户访问日志记录信息的挖掘，把握用户的兴趣，开展网站信息推送服务。

1.采用自动归类技术，实现公安网网站信息层次化

一般而言，网站提供给访问者的信息和服务应该是按优先次序进行排列，网站维护人员应该把重要的信息放在醒目的位置，因此在网站维护时，通过对网站内容挖掘和Web日志挖掘，可以有效地组织网站信息。例如:采用自动归类技术实现网站信息层次化；分析访问者的访问行为，可为用户提供智能化、个性化服务。还可根据访问者的访问兴趣、访问频度、访问时间，动态地调整页面结构。

2.采用日志挖掘技术，实现公安网网站信息推送服务

网站可以根据访问者的浏览情况，发现访问者的兴趣，定期为注册用户提供相关信息，并且调整网站中网页的链接结构和内容，为访问者提供个人定制服务。具体步骤为：首先将日志文件中的数据经过预处理，形成原始数据库；然后获取用户的访问模式，放入用户访问模式数据库；再通过数据挖掘和模式分析形成知识数据库，Web服务器自动更新知识数据库，采用动态主页设计方法，根据用户的知识信息，提供相应的个性化主页。在数据预处理过程中会话识别是重要的一步，它取决于用户访问模式的有效性和准确性。为提高准确性，可采用Cookie法进行会话识别。在呈现个性化主页时，利用用户的IP地址和Cookie值查询知识数据库，发现用户频繁访问的路径，并自动形成相应链接，根据相似用户群和相关Web页推荐给用户。由于是经过挖掘和分析后所产生的动态主页，相对于一般的主页，其针对性更强，更受用户的欢迎。

参考文献：

[1]叶鹰.情报学基础教程[M].科学出版社,2006

[2]栗湘等.Web挖掘应用研究[J]情报理论与实践,2005,(6)

[3]曼丽春等.Web数据挖掘研究与探讨[J].现在电子技术,2006,(8)