浅谈WEB编程中脚本的漏洞与防范策略.docVIP

浅谈WEB编程中脚本的漏洞与防范策略 　　【摘 要】现如今，在计算机信息技术快速发展的过程中，网络安全逐渐成为计算机用户与WEB程序员共同面对的一道难题。在借助信息技术的过程中，不乏侵犯者可以对多领域侵袭，引发互联网安全等多项问题。作为一名WEB程序员，在编程脚本运行的过程中需要对各项漏洞进行检测，并采取相应的防范措施，保证WEB编程脚本的安全。本文通过实例对WEB编程中存在的漏洞进行分析，并根据实际情况采取防范措施。 　　【关键词】WEB编程 脚本漏洞 防范策略 　　1 引言 　　网络信息技术的快速发展，促进了互联网信息技术的广泛应用。但是在互联网应用的过程中，有一个问题成为其中影响最大的问题，即网络安全问题。网络安全问题的出现，不仅仅影响用户的使用效果，还会给营造和谐的网络环境造成负面影响。在信息技术快速发展的过程中，如果网络安全不能获得有效的保证，将会给人们带来潜在的经济损失。作为网络中的一种编程，WEB编程脚本中存在的漏洞问题已经逐渐一起人们的广泛关注。人们在使用网络的过程中，脚本运行是最为常见的，如果不能客观准确地看待脚本中的漏洞，将会直接影响用户使用互联网的质量，影响信息技术的快速发展。 　　2 WEB编程脚本的概述 　　脚本在网络中的应用，随处可见，较为常见的主要有ASP、PHP、ASPX以及JSP等脚本语言，各类脚本语言常见于新闻发布系统、电子商务系统以及BBS系统中。程序员在设计WEB程序的时候，重点放在程序编程方面，并未予以脚本漏洞过多的关注，进而给脚本漏洞的产生提供有力的条件[1]。根据脚本语言编程的情况可以这么说，对脚本漏洞的注意，避免黑客的侵袭。但是在脚本的定义方面，人们具有一定的疑惑，人们在使用网络的过程中并不清楚脚本与HTML机编程语言的有何不同。从本质上来说，脚本其实就是HTML与Pascal、C++、Java、VB、C #等相关编程语言之间的一种语言。在脚本运行的过程中，操作系统联合脚本引擎以及脚本语言共同组合而成的一种工作方式。通常情况下，脚本语言并不是可以直接编译成可执行文件的，HTML在变成语言中属于一种解释性语言。从实际应用的过程中就了解到，脚本语言与编程语言的最大区别就在于编程语言的语法和规则更严格、更复杂。在实际应用脚本语言的过程中，就要保证脚本语言在服务器上正常的运行，需要在服务器端安装脚本引擎，例如可以在ASP上安装IIS，JSP上安装JDK与RESIN，ASPX上安装IIS与NET和FRAME等，脚本引擎需要为脚本主机提供环境，并对脚本程序中德脚本命令进行解释。在对命令解释完后，脚本引擎就会在将执行结果一HTML的语言格式发送给客户端。但是客户端的浏览器是可以变量的形式，进而为脚本程序提供数据与指令。在实施的具体过程，将表单行使想WEB服务器发送变量，WEB服务器收到数据后就会将数据以某种形式储存起来，随后就会调用浏览器制定脚本程序来处理变量，在跳用脚本程序的时候，WEB服务器根据脚本程序的扩展名来启动相应的脚本引擎解释脚本运行的程序[2]。 　　3 脚本漏洞实例分析 　　通过前文的分析就可以知道，客户端的浏览器会根据变量或者是命令的想脚本程序提交与之相应的数据和指令，而这就是所谓的编写脚本程序。但是在编写脚本程序的时候应当避免出现脚本程序处理数据和指令出现漏洞与缺陷 　　3.1 弱字符过滤 　　在WEB编程实施的过程中，为保证编程的准确性，需要对表单的各项数据进行处理，但是在此时处理的过程中应当特别注意，如果出现处理不当的现象，将会出现较多难以解决的问题。在提交数据的时候需要应用Javascript技术，但是过滤技术在在应用的时候并没有将这些问题作为关注的对象。如，用户在表单中应用Javascript技术，但是并没有对其中的代码采取过滤技术，就有可能会造成用户浏览表单死机的现象： for（int i=1；i=1；） window.open（a.html，_self，）； 。但是用户使用表单内的数据库，而数据库里面的数据结果没有进行过滤，将有可能出现较为严重的漏洞情况。针对此，将JSP作为例子，在管理员登陆页面的时候就会出现这么一种情形： 　　这样的程序代码粗略看过去根本就没什么漏洞，但是实际上并不是这样的，用户在登录也每年的时候name与passwor的文本框中都输入or 1=1，提交到服务器，上面的sql语句就会变成：select * from pinfo where name=or 1=1 and psw= or1=1从这就可以显然看出执行后显然rs.eof为真，用户在江adim登录标装置为true，这样攻击者就会以管理员的身份登录进admin.jsp页面，而用户在登以管理员的省份服务器后，就可能会向服务器传木马程序，进而就会造成服务器系统