网页安全论文大全11篇

时间：2022-12-15 00:35:50

网页安全论文

网页安全论文篇（1）

3.1 新建网页

打开FrontPage软件，进入网站所在目录，“文件”-“新建”，选择“空白网页”，此时出现一个上部为代码区，下部为设计区的空白网页（图6）。在此界面下，可同时查看网页代码和网页视图的编辑情况，可根据各自习惯在代码区或者视图区编辑内容。

当图片内容和文字内容插入、编辑完毕后，可在设计视图（图7）下稍作修饰，然后在预览视图下进行预览，满意后保存文件，即成为一个完整充实的网页（图8）。

打开首页面“index.htm”，选中导航栏中的“天气预报”，右击选择“超链接属性”，出现“编辑超链接”对话框（图9）。选择浏览文件，出现“链接到文件”对话框（图10），选中“yb.htm”，它将自动置入“编辑超链接”对话框中的地址栏，最后单击“确定”就完成了导航栏中“天气预报”项目到具体预报内容页面的链接过程。其他页面的链接过程与此类同，超链接过程完成后，永久有效，日后对预报等内容的更新，只需编辑修改“yb.htm”等子页面的内容即可，超链接不必重复操作。

4 内容上传与网页浏览

网站在单机编辑完成后，必须到服务器空间，并且在浏览器地址栏输入正确的域名后才能在互联网上被正确访问。下面以“蓬莱气象网”的首页“index.htm”为例，介绍网页上传的步骤。输入服务器地址登陆空间，是上传网页的方法之一，步骤是“资源管理器”，地址栏输入ftp://plqxjcom:**********/www，其中“plqxjcom”是我们所在服务器上的用户名，“**********”代表10为数的密码，“”是服务器地址，“www”是存储此网页的文件夹。地址输入完毕后回车，便进入了服务器空间，然后将编辑好的“index.htm”页面复制到此空间的“www”文件夹下，上传任务即完成（图11）。

网站内容上传成功后，在浏览器地址栏输入域名“”便可浏览到网站内容（图12）。

网页安全论文篇（2）

1、网站设计风格

我们将充分发挥网站策划和建设开发的优势，在开发建设上海**物流有限公司网站中将严格遵循以下原则：

(1)在网站维护和后续扩展上：我们提供专门的网站维护后台，网站管理员可以很方便的借助这个平台维护整个网站。我们在规划网站之初，就会将功能模块框架搭建得很大而且易于扩展，以后增加新的功能和模块都会非常方便，降低二次开发成本。另外，对于以静态和flash展示的页面，考虑到页面的精美要求，我们手工维护。

(2)在设计上：精美与高效兼顾。网站页面设计体现上海**物流有限公司的大型企业形象，在框架编排、色彩搭配以及flash动画的适当穿插都做到恰到好处，使整个网站在保证功能的前提下给浏览者带来良好的视觉享受和时代动感。

(3)在网站功能上：充分体现网站的互动性，并且采用多种机制提醒网站管理人员，便于网管和相关人员及时响应。并且特别注重网站的安全和稳定，采用网络安全、系统登录安全、各分系统安全、分系统模块安全、会话期间安全等多种方式确保安全。采用先进的3层结构的编程方式使网站即使在极多访问量的情况下仍能保持稳定。

2、网站目标

网络凭借其卓越的互动性与便捷的交流手段正成为最有发展潜力与前途的新兴媒体，成为众商家倍为关注的宣传热点。许多行业的先锋企业都已经采用互联网技术，为客户、合作伙伴在网上提供信息服务，并且借助互联网，敏锐的捕捉商机。

作为专业从事物流行业的大型企业，上海**物流有限公司更需要建设好网站，将其作为对外宣传、服务和交流的载体，来配合公司的迅速发展，使网站具有鲜明的行业特色，使更多的企业通过网络来结盟上海**物流有限公司，使更多的客户通过网络来了解上海**物流有限公司。

二网站整体结构

1 网站栏目结构图

2 栏目说明

上海**物流有限公司网站栏目结构如上图所示。栏目规划充分考虑到上海**物流有限公司展示企业形象、扩大知名度以及综合功能的需要。网站采用了多种动态模块，企业能够自主、独立的完成网站中多数内容的更新。页面的设计将充分体现上海**物流有限公司一流企业的形象，在框架编排、色彩搭flash动画的适当穿插都做到恰到好处，使整个网站在保证功能的前提下给使用者带来良好的视觉享受和精神愉悦感。

3 首页

采用动态asp动态页面，主要显示最新动态信息（自动从新闻动态中提取）、服务项目（自动从物流服务中提取），重要客户（自动从典型客户中提取）等。网管在后台可以动态更新首页的内容。浏览者一进入首页就能够了解整个网站的最新更新和公司的最新活动，给浏览者耳目一新的感觉，吸引浏览者经常访问上海**物流有限公司网站。

4 新闻动态

此栏目采用新闻动态模块，是将网页上的某些经常变动的信息，如：网站新闻、公司动态、业界动态等集中管理，按某些共性分类，通过简单的操作加入数据库，到网站上的一套系统。它的出现大大减轻了网站更新维护的工作量，加快了信息的传播速度，使网站时时保持着活力和影响力。

模块特点

a、支持新闻按专题、栏目、媒体、关键词、日期等条件检索；

b、支持图片，每条信息和新闻可配上图片，并选择图片与文字的显示方式；

c、支持各种风格的新闻显示样式，可定制个性化新闻模版；

d、提供各种统计方式，帮助您分析新闻浏览情况；

e、根据信息的重要性，选择信息显示的位置。

模块功能说明

·新闻前台——新闻在首页显示的页面

说明：若新闻带有图片或被定义为热点新闻，标题后会有小图标显示，并且优先显示。

·新闻前台——新闻目录显示页面

·新闻前台——新闻详细信息显示页面

·新闻后台——类别添加

·新闻后台——类别列表

·新闻后台——新闻添加

·新闻后台——新闻修改

·新闻管理页面

5 公司概况

本栏目包括“公司介绍”、“企业理念”、“服务网络”三个板块，其主要功能是宣传企业，通过对企业的基本情况、文化理念、服务的了解，使上海**物流有限公司为更多客户所熟悉、信赖。这个栏目全部采用静态页面，我们将采用多种表现形式将公司的企业形象予以最好的传达。

6 物流服务

本栏目包括“配送运输”、“仓储服务”、“集卡服务”、“国际物流”、“货运”五个板块。其主要功能是全面展示**物流的服务项目，页面采用图文相兼的方式。

7 网上定单

本栏目链接企业内部物流信息管理系统，客户可凭用户名和密码登陆查询相关信息。

8 典型客户

本栏目采用动态数据库功能，管理员可在后台自由添加、修改、删除相关合作客户信息；前台客户也可通过行业、地区或公司名来查询相关公司信息；并可将重要客户或新加盟的客户放在首页上；使访客能更好的了解**物流的合作伙伴动态。共3页,当前第1页1

9 人才招聘

企业的不断发展壮大，需要不断的充实自己的人才队伍，上海**物流有限公司的网站开设这样一个栏目就显得很有必要。

10 联系我们

分“联系信息”和“留言板”。“联系信息”是静态页面，介绍公司的联系方式。其中email可采用超级连接，客户点击后即写信、发送。“留言板”通过管理员设置固定模板，客户在线填写递交；后台管理员通过不同需求类型或行业进行划分、查询，统一部署给不同部门去办理，从而大大提高工作效率。

推荐模块

11 企业论坛

模块介绍

网站的访客可就所关心的产品、服务、相关知识等提出自己的问题或表明观点、感受等。而企业专职人员则可及时反馈信息。所有这些文字形成的交流都会记录在系统中，供其他访客浏览、借鉴。系统可根据企业产品或服务种类的不同而设立多主题多版面，并引导访客选择相应的主题进行讨论。这将营造条理清晰、目的明确的沟通环境，提高信息查询检索的效率。企业还可以根据需要开设技术支持版面，在线答复访问者提交的问题，将其作为企业售后服务体系的一部分。

模块特点

a、讨论区-话题-贴子三级结构，清晰明了；

b、提供对点击率、回复率等各种统计分析，同时有强大的排序，查阅功能；

c、管理员指定内部信息为专家评论，吸引用户访问；

模块功能说明

·论坛前台——论坛首页显示页面

·论坛前台——论坛主题列表

·论坛前台——论坛文章显示页面

·文章前台——文章发表显示页面

·管理后台——论坛栏目添加页面

·管理后台——论坛栏目管理页面

·管理后台——论坛文章管理

12 邮件群发

邮件群发系统是网站管理员与会员沟通以及企业推广产品的工具。网站管理员可选择不同类型的会员群发邮件，邮件内容可以是文本格式，也可以是html页面格式，发送邮件还可选择个性化发送，即在邮件中带上该会员的名字，例如：“尊敬的某某”，这样让接收者感觉信是专门为他而发，觉得很亲切，从而对信件内容的排斥就会减少很多。

功能简介：

电子邮件地址自主添加、查看、删除

电子邮件地址按组管理

电子邮件地址名字、email地址、日期、邮件组检索

电子邮件地址按组发送

电子邮件发送日志管理，自由查看、删除

·电子邮件地址添加页面

·电子邮件地址管理页面

·电子邮件发送页面

·电子邮件发送日志页面

三网站权限管理

系统严格限制不同管理员（webmaster）的权限。对每个模块的管理权限可以分开指定，例如某个管理员有公司动态的权限、客户服务管理权限，某个管理员有产品世界的管理权限，某个管理员有所有的权限。这样既可使整个网站的庞大管理功能分解给各个管理人员，确保有效管理，又提高了整个网站的安全性。

四网站建设平台分析

作为一个提供信息服务的电子商务网站，网站的稳定、高速、安全问题就显得十分重要，为了保证上海**物流有限公司网站的稳定运行，我公司建议上海**物流有限公司网站采用我公司提供的高端虚拟主机。

1 虚拟主机

我们提供全面而专业的虚拟主机服务，为专业网站提供最完善解决方案，为知名网站提供最稳定和安全的网络平台，解决您拓展网络世界及电子商务的后顾之忧。我们为客户提供以下标准服务：

沪上最好的托管环境

高品质机房环境及设备，恒温恒湿控制系统

通过2根千1000m光纤直接接入chinanet骨干网，国内出口2g、国际出口1g

dellhp机架式服务器配置

服务器系统软件安装、调试

不间断、无休日24*7*365小时网络系统管理维护与技术支持

免费提供ip地址、流量监测

紧急状况处理

标准远程管理软件使用培训

更有防火墙、数据备份、系统安全、ssl加速、无缝移机、本地负载均衡（服务器集群）、高速缓存/镜像等增值服务

一旦采用了我们的虚拟主机服务，您不仅节省了大量的资金，而且获得了我们为您提供的专业服务器、高带宽接入、网络技术支持和监控。

2 数据中心托管环境

l 高品质电信机房

在我们设施先进的高品质电信机房中，千兆带宽直接接入chinanet骨干网（国内2g，国际1g），有最可靠的供电系统（双路交流电+ups+柴油发电机）；有覆盖整个大楼的中央空调系统；全自动的消防系统和全天候的全年中无休的机房保安使您的服务器免受火灾等及非法侵入。

l 卓越的监控系统

我们不仅有专门设置的监控器，随时观察服务器的运作情况，更可检测实时流量及网络连通情况，并提供在线实时流量报告及网络状况监控报告，能够及时发现问题并采取相应措施。

l 专业的网络人才

我们的专业工程师具有多年的网络背景，有丰富网络(wan&lan)建设与软件开发经验，精通internet相关技术、熟悉各种互联网操作系统和网络工具软件，在解决网络与系统故障方面有突出能力。

l 迅速的现场处理

我们每天24小时为您提供最高效服务器技术保障、管理、维护和实时监控，保证您的服务器能最稳定地运行。

l 及时的服务器升级

随着您的业务欣欣向荣，对网络资源的需求将不断增加。上海我们依托其丰富资源和较强的扩充能力，将满足您对服务器配置、主机空间和带宽扩充方面的所有要求，以配合您业务的增长。共3页,当前第2页2

l 可控的主机租费

资源外包服务的费用可以通过服务商的选择和商务谈判达到完全可控，与建设高成本、高复杂度和高变动风险的网站系统和承担网络工程师的薪金相比，主机托管的经济优势可见一斑。

五网站运营安全策略

网页安全论文篇（3）

软件名称：Apache+PHP+MySQL+Perl服务器套件程序

软件版本：1.1.0简体中文版

授权方式：免费软件

软件大小：14.6 MB

下载地址：http：//省略/soft/22078.htm

Step1下载Apache+PHP+MySQL+Perl服务器套件程序，该套件程序集Apache、PHP与MySQL数据库三者于一身，你只需一次安装，即可实现Apache、PHP与MySQL数据库三者的安装与初始化配置工作。双击下载文件“Server.exe”图标，在弹出的安装向导窗口中依次单击“接受”和“安装”按钮，程序就会自动解压并它安装到“D：＼usr”目录中。注意不要轻易修改此安装路径，否则可能会造成调用异常的错误。程序安装完毕后，会自动弹出一个命令提示符窗口，显示Apache和MySQL服务启动成功的信息，将其关闭。

Step2打开IE浏览器，在地址栏中输入“http：//127.0.0.1”并回车，如果打开的页面中出现PHP测试、CGI测试和phpMyAdmin等测试信息介绍(图1)，则说明Apache+PHP+MySQL+Perl服务器套件程序工作工常。

Step3打开“D：＼usr＼www＼html”目录，将该目录下所有的文件和文件夹删除，以防止和以后要安装的XOOPS程序产生冲突。

7步架设本机XOOPS论坛

Step1在使用XOOPS架设论坛之前，首先要将自己的服务器地址和网站域名记录下来，在安装XOOPS程序时要使用到。将下载的文件解压，并把解压文件夹中的所有文件复制到“D：＼usr＼www＼html”目录中，然后在IE浏览器地址栏中输入“http：//服务器地址(或域名)/install/index.php”并回车，就会出现XOOPS安装向导页面(图2)，如果只在本机测试，只需输入“http：//127.0.0.1/install/index.php”即可。

Step2依次单击“下一步”按钮，在出现“一般设置”页面时，注意“数据库主机地址”通常只需输入“Localhost”即可；在“数据库用户名称”文本框中输入“root”，并使“数据库用户密码”文本框为空；在“数据库名称”文本框中输入“MySQL”，在“XOOPS的网址”文本框中输入你的网站域名，剩下的其他设置项均保持默认设置即可(图3)。然后依次单击“下一步”按钮，在出现“网站管理员设置”页面时，你需要设置一个网站管理员账号和密码，再依次单击“下一步”按钮，最后即可出现“网络建设完毕”提示页面。

Step3在IE浏览器地址栏中输入你的网站域名或主机地址(本机为“127.0.0.1”)并回车，便可进入你的网站首页了。在“登录”中输入你的管理员账号和密码，单击“用户登录”按钮，在打开的网站后台控制页面中单击“管理区”标签。进入“管理区”首页后，它首先会提示你要将“D：\usr”EI录下的“install”文件及文件夹删除，然后将“mailfile.php”文件的属性设置为不可读写，以确保服务器的安全。你只需按照提示操作即可。

Step4单击页面左侧的“system Admin(系统管理)”按钮，在打开的页面单击“模块管理”按钮，即可进入“模块管理区”页面(图4)。如果要安装论坛模块，只需单击“Forum”图标后面的磁盘按钮即可。

Step5论坛模块安装完毕后，在窗口左侧会自动出现一个“Forum”按钮，单击它在窗口右侧就会显示论坛设置页面(图5)。单击“新建分类”按钮，在打开的页面中输入一个论坛分类标题，如“电脑类”，单击“创建新分类”按钮。如果要创建更多的论坛分类，只需按照以上同样的方法进行操作即可。

Step6单击“新建讨论区”按钮，进入“新建讨论区”设置页面后(图6)，在“讨论区名称”文本框中输入一个论坛版块名称，如“软件交流”。在“讨论区描述”文本框中输入该版块的主题内容，在“版主”栏将自己的账号选中，在“论坛分类”栏中选择一个论坛分类，如“电脑类”，单击“创建新讨论区”按钮即成功创建了一个新讨论区。另外在该设置页面中，你还可以根据自己的需要，对讨论区的访问权限等进行详细设置。如果要创建多个讨论区，只需按照以上同样的方法进行设置即可。

Step7 因为我们要创建的是论坛站点，所以要将论坛模块设置为网站的起始页面以方便用户的查看和登录。单击“System admin”按钮，在页面右侧单击“系统设置”按钮，进入“站点信息”页面后，单击“一般设置”项后面的“编辑”按钮。在打开的页面中单击“起始页面使用模块”选项中的下拉菜单按钮，在弹出的快捷菜单中将“论坛”项选中，然后单击页面底部的“确定”按钮。这样设置后，再单击页面右上角的“网站首页”按钮，你就会发现论坛已经变成网站的首页了(图7)。

至此，一个初具规模的论坛就架设完成，可以吸收自己的会员来进行交流和共同维护了。当然XOOPS的功能十分强大，它还具有广告管理、群组管理、邮件/信息群发和等级管理等诸多功能，因此要想经营和管理好你的的论坛，还需要多花点时间去探索和研究它。

软件名称：XOOPS

软件版本：2.0.71简体中文版

授权方式：免费软件

软件大小：1.49M8

网页安全论文篇（4）

桌面消失了

那天，笔者上班后照常打开电脑，登录QQ发现有条留言，同事发来了一个内部网页。打开这个网页后不久，就听到硬盘一阵旋转后很快就停了下来，笔者也没有在意，继续看网页。但我返回桌面后不禁大吃一惊，桌面上的图标全部消失了，只剩下光秃秃的壁纸。

是什么原因让桌面图标消失的呢？一下子我就联想到最近国外杀毒软件频频出现的“误杀”事件，难道又是这些杀毒软件在“兴风作浪”？恰好笔者安装的就是《卡巴斯基》，于是立即重新启动操作系统，但发现系统并没有崩溃，能进入系统，也能从“开始”菜单中运行程序。

问题出在网页中

既然是访问网页的时候出现的问题，于是我再次打开那个网页，并查看其源代码，果然在其中发现了一段可疑的脚本代码。仔细分析，正是该脚本调用了系统中的一个函数接口，删除了桌面图标。再通过注册表文件来查看该系统组件所对应的文件，结果吓一跳，它对应的文件就在《卡巴斯基》目录中。难道《卡巴斯基》又出现了漏洞？

明显是被同事“阴”了，找到这个恶作剧的同事，我才知道其中的原理。杀毒软件在查杀过程中都会使用自带的一个组件来进行清理操作，这个组件在安装时就被直接安装进入Windows系统，比如在《卡巴斯基》的程序安装过程中，就会将一个名叫“AxKLProd60.dll”的库文件注册为系统组件，这个组件的KLProd60类中提供了一个名为DeleteFile的函数，这个函数就是用于清除病毒文件的（图2）。

该组件本身没有问题，但是被调用的时候却不够严谨。换句话说，如果可以通过某种方式调用这个函数的话，理论上就能够删除系统中的任意文件。

后果很严重

这引起我的研究兴趣了，我将原来的网页脚本进行了一番修改，目的是验证安装了《卡巴斯基》的用户，会不会在毫不之情的情况下被莫名其妙地删除文件。为了保证系统安全，我在文件被删除以前对其进行了备份。打开记事本输入如图3的代码，并将其另存为一个网页文件。

在本地计算机打开这个网页，如果是Windows XP SP2或者Windows Vista系统的话，IE浏览器会弹出一个安全提示，成功执行该网页后果然发现那文件被删除了。如果将该网页文件上传到网站空间，在访问该文件以后同样可以删除硬盘中的指定文件，而且浏览器还不会出现任何的安全提示。

同样，无论是在本地还是在网络空间运行该网页文件，即使有UAC保护下的Vista系统，这个漏洞也可以被利用。

写在最后

网页安全论文篇（5）

色彩理论篇

网页设计配色基础

虽然有图书广告之嫌，不过已上传到网上的可免费阅读的这部分内容还是相当可观的，对基础色彩理论分析比较详细，值得一看。

.cn/668

关于色彩的“纯度”概念问题

这是上面文章内容的一个补充与扩展，介绍了图形图像处理过程中经常接触的HSB色彩模式，尤其对色彩的“纯度”概念作了较为详细的解析。

.cn/669

色彩工具篇

轻松定制自己的配色方案

这个网站提供了多个色彩工具，可以帮助网页设计师轻松完成配色方案。其中，ColorPix（从屏幕任意处吸取颜色并转换成设计时可用的颜色值）和Galleria（内置了多种配色方案模板）还可以免费下载使用。它们最有特色的一个服务，是免费在线提供了2千多个的配色方案，并有具体应用网站的地址链接。

.cn/670

中英文颜色代码参考手册

当你的客户说：“我希望网页的主色调是苍白的紫罗兰红色。”这时你能想像出这是种什么样的颜色么？在电脑中颜色通过数值精确表达，但是在生活中我们常会用形容词来描述。如果你想了解这些形容词描述的颜色实际是什么样子，那么就到这个网页上来查查看吧。

.cn/671

网页216安全色调板

为了避免网页的颜色在不同的显示器或不同的浏览器中打开时显示的差异太大，设计时可尽量采用网页216安全色。这个网站提供一个网页216安全色调板工具，可借助它来完成配色方案（见图）。

.cn/672

色彩实例篇

关于韩国网站的风格探讨

韩国在设计方面的成绩可圈可点，值得我们学习的地方还是不少的。这篇文章以实例的方式系统地分析了韩国一些流行网站的页面风格，对色彩也进行了很好的图文解说。有兴趣的朋友不妨借鉴一下。

.cn/673

欧美风格商业站点模板分析

欧美作为现代设计的发源地，积累了大量的理论和实践经验，他们的网页设计别有一番天地。这篇文章对欧美风格的商业站点进行了详细分析，对色彩的理解也值得借鉴一下。

.cn/674

其他篇

网页安全论文篇（6）

小提示:

软件安装过程会有一项默认设置,提示是否将主页设置为5543为,要注意取消原来的对钩。安装后它会在桌面放置了一个“5543网址大全”的图标,安装完软件我们可以先删除它。

多方协作三种交互

畅游巡警默认情况下支持IE如果使用的是傲游或世界之窗,程序组中找到它,单击“配置畅游巡警”,单击“修复”一般就可以完美支持了。不过有时,也需要手动处理下。

Maxthon:打开Maxthon安装目录下的SharedAccount\Config\Config.ini文件(如果你有Maxthon账号,就打开Config.ini),在Settings项目中增加一行:LoadAllIEPlugin=1,重启Maxthon2即可。

世界之窗:在其菜单栏中依次单击“工具插件和外观插件”,接着再依次选中“畅游巡警”、“ntFilter”和“SecAddons Class” ,重启即可。

网页安全论文篇（7）

1网络安全总体状况分析

2007年1月至6月期间，半年时间内，CNCERT/CC接收的网络仿冒事件和网页恶意代码事件，已分别超出去年全年总数的14.6%和12.5%。

从CNCERT/CC掌握的半年情况来看，攻击者的攻击目标明确，针对不同网站和用户采用不同的攻击手段，且攻击行为趋利化特点表现明显。对政府类和安全管理相关类网站主要采用篡改网页的攻击形式，也不排除放置恶意代码的可能。对中小企业，尤其是以网络为核心业务的企业，采用有组织的分布式拒绝服务攻击(DDoS)等手段进行勒索，影响企业正常业务的开展。对于个人用户，攻击者更多的是通过用户身份窃取等手段，偷取该用户游戏账号、银行账号、密码等，窃取用户的私有财产。

2用IIS+ASP建网站的安全性分析

微软推出的IIS+ASP的解决方案作为一种典型的服务器端网页设计技术，被广泛应用在网上银行、电子商务、网上调查、网上查询、BBS、搜索引擎等各种互联网应用中。但是，该解决方案在为我们带来便捷的同时，也带来了严峻的安全问题。本文从ASP程序设计角度对WEB信息安全及防范进行分析讨论。

3SP安全漏洞和防范

3.1程序设计与脚本信息泄漏隐患

bak文件。攻击原理：在有些编辑ASP程序的工具中，当创建或者修改一个ASP文件时，编辑器自动创建一个备份文件，如果你没有删除这个bak文件，攻击者可以直接下载，这样源程序就会被下载。

防范技巧：上传程序之前要仔细检查，删除不必要的文档。对以BAK为后缀的文件要特别小心。

inc文件泄露问题。攻击原理：当存在ASP的主页正在制作且没有进行最后调试完成以前，可以被某些搜索引擎机动追加为搜索对象。如果这时候有人利用搜索引擎对这些网页进行查找，会得到有关文件的定位，并能在浏览器中查看到数据库地点和结构的细节，并以此揭示完整的源代码。

防范技巧：程序员应该在网页前对它进行彻底的调试。首先对.inc文件内容进行加密，其次也可以使用.asp文件代替.inc文件，使用户无法从浏览器直接观看文件的源代码。

3.2对ASP页面进行加密。为有效地防止ASP源代码泄露，可以对ASP页面进行加密。我们曾采用两种方法对ASP页面进行加密。一是使用组件技术将编程逻辑封装入DLL之中；二是使用微软的ScriptEncoder对ASP页面进行加密。3.3程序设计与验证不全漏洞

验证码。普遍的客户端交互如留言本、会员注册等仅是按照要求输入内容，但网上有很多攻击软件，如注册机，可以通过浏览WEB，扫描表单，然后在系统上频繁注册，频繁发送不良信息，造成不良的影响，或者通过软件不断的尝试，盗取你的密码。而我们使用通过使用验证码技术，使客户端输入的信息都必须经过验证，从而可以解决这个问题。

登陆验证。对于很多网页，特别是网站后台管理部分，是要求有相应权限的用户才能进入操作的。但是，如果这些页面没有对用户身份进行验证，黑客就可以直接在地址栏输入收集到的相应的URL路径，避开用户登录验证页面，从而获得合法用户的权限。所以，登陆验证是非常必要的。

SQL注入。SQL注入是从正常的WWW端口访问，而且表面看起来跟一般的Web页面访问没什么区别，所以目前市面的防火墙都不会对SQL注入发出警报，如果管理员没查看IIS日志的习惯，可能被入侵很长时间都不会发觉。

SQL注入攻击是最为常见的程序漏洞攻击方式，引起攻击的根本原因就是盲目信任用户，将用户输入用来直接构造SQL语句或存储过程的参数。以下列出三种攻击的形式：

A．用户登录：假设登录页面有两个文本框，分别用来供用户输入帐号和密码，利用执行SQL语句来判断用户是否为合法用户。试想，如果黑客在密码文本框中输入''''OR0=0，即不管前面输入的用户帐号和密码是什么，OR后面的0=0总是成立的，最后结果就是该黑客成为了合法的用户。

B．用户输入：假设网页中有个搜索功能，只要用户输入搜索关键字，系统就列出符合条件的所有记录，可是，如果黑客在关键字文本框中输入''''GODROPTABLE用户表，后果是用户表被彻底删除。

C．参数传递：假设我们有个网页链接地址是HTTP：//……asp?id=22，然后ASP在页面中利用Request.QueryString[''''id'''']取得该id值，构成某SQL语句，这种情况很常见。可是，如果黑客将地址变为HTTP：//……asp?id=22anduser=0，结果会怎样?如果程序员有没有对系统的出错提示进行屏蔽处理的话，黑客就获得了数据库的用户名，这为他们的进一步攻击提供了很好的条件。

解决方法：以上几个例子只是为了起到抛砖引玉的作用，其实，黑客利用“猜测+精通的sql语言+反复尝试”的方式，可以构造出各种各样的sql入侵。作为程序员，如何来防御或者降低受攻击的几率呢?作者在实际中是按以下方法做的：

第一：在用户输入页面加以友好备注，告知用户只能输入哪些字符；

第二：在客户端利用ASP自带的校验控件和正则表达式对用户输入进行校验，发现非法字符，提示用户且终止程序进行；

第三：为了防止黑客避开客户端校验直接进入后台，在后台程序中利用一个公用函数再次对用户输入进行检查，一旦发现可疑输入，立即终止程序，但不进行提示，同时，将黑客IP、动作、日期等信息保存到日志数据表中以备核查。

第四：对于参数的情况，页面利用QueryString或者Quest取得参数后，要对每个参数进行判断处理，发现异常字符，要利用replace函数将异常字符过滤掉，然后再做下一步操作。

第五：只给出一种错误提示信息，服务器都只提示HTTP500错误。

第六：在IIS中为每个网站设置好执行权限。千万别给静态网站以“脚本和可执行”权限。一般情况下给个“纯脚本”权限就够了，对于那些通过网站后台管理中心上传的文件存放的目录，就更吝啬一点吧，执行权限设为“无”好了。

第七：数据库用户的权限配置。对于MS＿SQL，如果PUBLIC权限足够使用的绝不给再高的权限，千万不要SA级别的权限随随便便地给。

3.4传漏洞

诸如论坛，同学录等网站系统都提供了文件上传功能，但在网页设计时如果缺少对用户提交参数的过滤，将使得攻击者可以上传网页木马等恶意文件，导致攻击事件的发生。

防文件上传漏洞

在文件上传之前，加入文件类型判断模块，进行过滤，防止ASP、ASA、CER等类型的文件上传。

暴库。暴库，就是通过一些技术手段或者程序漏洞得到数据库的地址，并将数据非法下载到本地。

数据库可能被下载。在IIS+ASP网站中，如果有人通过各种方法获得或者猜到数据库的存储路径和文件名，则该数据库就可以被下载到本地。

数据库可能被解密

由于Access数据库的加密机制比较简单，即使设置了密码，解密也很容易。因此，只要数据库被下载，其信息就没有任何安全性可言了。

防止数据库被下载。由于Access数据库加密机制过于简单，有效地防止数据库被下载，就成了提高ASP+Access解决方案安全性的重中之重。以下两种方法简单、有效。

非常规命名法。为Access数据库文件起一个复杂的非常规名字，并把它放在几个目录下。

使用ODBC数据源。在ASP程序设计中，如果有条件，应尽量使用ODBC数据源，不要把数据库名写在程序中，否则，数据库名将随ASP源代码的失密而一同失密。

使用密码加密。经过MD5加密，再结合生成图片验证码技术，暴力破解的难度会大大增强。

使用数据备份。当网站被黑客攻击或者其它原因丢失了数据，可以将备份的数据恢复到原始的数据，保证了网站在一些人为的、自然的不可避免的条件下的相对安全性。

3.5SP木马

由于ASP它本身是服务器提供的一项服务功能，所以这种ASP脚本的木马后门，不会被杀毒软件查杀。被黑客们称为“永远不会被查杀的后门”。我在这里讲讲如何有效的发现web空间中的asp木马并清除。

技巧1：杀毒软件查杀

一些非常有名的asp木马已经被杀毒软件列入了黑名单，所以利用杀毒软件对web空间中的文件进行扫描，可以有效的发现并清除这些有名的asp木马。

技巧2：FTP客户端对比

asp木马若进行伪装，加密，躲藏杀毒软件，怎么办？

我们可以利用一些FTP客户端软件（例如cuteftp，FlashFXP）提供的文件对比功能，通过对比FTP的中的web文件和本地的备份文件，发现是否多出可疑文件。

技巧3：用BeyondCompare2进行对比

渗透性asp木马，可以将代码插入到指定web文件中，平常情况下不会显示，只有使用触发语句才能打开asp木马，其隐蔽性非常高。BeyondCompare2这时候就会作用比较明显了。

技巧4：利用组件性能找asp木马

如：思易asp木马追捕。

大家在查找web空间的asp木马时，最好几种方法结合起来，这样就能有效的查杀被隐藏起来的asp木马。

结束语

总结了ASP木马防范的十大原则供大家参考：

建议用户通过FTP来上传、维护网页，尽量不安装asp的上传程序。

对asp上传程序的调用一定要进行身份认证，并只允许信任的人使用上传程序。

asp程序管理员的用户名和密码要有一定复杂性，不能过于简单，还要注意定期更换。

到正规网站下载asp程序，下载后要对其数据库名称和存放路径进行修改，数据库文件名称也要有一定复杂性。

要尽量保持程序是最新版本。

不要在网页上加注后台管理程序登陆页面的链接。

为防止程序有未知漏洞，可以在维护后删除后台管理程序的登陆页面，下次维护时再通过上传即可。

要时常备份数据库等重要文件。

日常要多维护，并注意空间中是否有来历不明的asp文件。

一旦发现被人侵，除非自己能识别出所有木马文件，否则要删除所有文件。重新上传文件前，所有asp程序用户名和密码都要重置，并要重新修改程序数据库名称和存放路径以及后台管理程序的路径。

做好以上防范措施，您的网站只能说是相对安全了，决不能因此疏忽大意，因为入侵与反入侵是一场永恒的战争！网站安全是一个较为复杂的问题，严格的说，没有绝对安全的网络系统，我们只有通过不断的改进程序，将各种可能出现的问题考虑周全，对潜在的异常情况进行处理，才能减少被黑客入侵的机会。

参考文献

网页安全论文篇（8）

2用IIS+ASP建网站的安全性分析

3SP安全漏洞和防范

3.1程序设计与脚本信息泄漏隐患

防范技巧：上传程序之前要仔细检查，删除不必要的文档。对以BAK为后缀的文件要特别小心。

第一：在用户输入页面加以友好备注，告知用户只能输入哪些字符；

第二：在客户端利用ASP自带的校验控件和正则表达式对用户输入进行校验，发现非法字符，提示用户且终止程序进行；

第五：只给出一种错误提示信息，服务器都只提示HTTP500错误。

第七：数据库用户的权限配置。对于MS＿SQL，如果PUBLIC权限足够使用的绝不给再高的权限，千万不要SA级别的权限随随便便地给。

3.4传漏洞

防文件上传漏洞

在文件上传之前，加入文件类型判断模块，进行过滤，防止ASP、ASA、CER等类型的文件上传。

暴库。暴库，就是通过一些技术手段或者程序漏洞得到数据库的地址，并将数据非法下载到本地。

数据库可能被下载。在IIS+ASP网站中，如果有人通过各种方法获得或者猜到数据库的存储路径和文件名，则该数据库就可以被下载到本地。

数据库可能被解密

由于Access数据库的加密机制比较简单，即使设置了密码，解密也很容易。因此，只要数据库被下载，其信息就没有任何安全性可言了。

非常规命名法。为Access数据库文件起一个复杂的非常规名字，并把它放在几个目录下。

使用ODBC数据源。在ASP程序设计中，如果有条件，应尽量使用ODBC数据源，不要把数据库名写在程序中，否则，数据库名将随ASP源代码的失密而一同失密。

使用密码加密。经过MD5加密，再结合生成图片验证码技术，暴力破解的难度会大大增强。

3.5SP木马

技巧1：杀毒软件查杀

一些非常有名的asp木马已经被杀毒软件列入了黑名单，所以利用杀毒软件对web空间中的文件进行扫描，可以有效的发现并清除这些有名的asp木马。

技巧2：FTP客户端对比

asp木马若进行伪装，加密，躲藏杀毒软件，怎么办？

我们可以利用一些FTP客户端软件（例如cuteftp，FlashFXP）提供的文件对比功能，通过对比FTP的中的web文件和本地的备份文件，发现是否多出可疑文件。

技巧3：用BeyondCompare2进行对比

技巧4：利用组件性能找asp木马

如：思易asp木马追捕。

大家在查找web空间的asp木马时，最好几种方法结合起来，这样就能有效的查杀被隐藏起来的asp木马。

结束语

总结了ASP木马防范的十大原则供大家参考：

建议用户通过FTP来上传、维护网页，尽量不安装asp的上传程序。

对asp上传程序的调用一定要进行身份认证，并只允许信任的人使用上传程序。

asp程序管理员的用户名和密码要有一定复杂性，不能过于简单，还要注意定期更换。

到正规网站下载asp程序，下载后要对其数据库名称和存放路径进行修改，数据库文件名称也要有一定复杂性。

要尽量保持程序是最新版本。

不要在网页上加注后台管理程序登陆页面的链接。

为防止程序有未知漏洞，可以在维护后删除后台管理程序的登陆页面，下次维护时再通过上传即可。

要时常备份数据库等重要文件。

日常要多维护，并注意空间中是否有来历不明的asp文件。

参考文献

[1]袁志芳田晓芳李桂宝《ASP程序设计与WEB信息安全》中国教育信息化2007年21期.

网页安全论文篇（9）

Print2Flash是一款十分优秀的虚拟打印机软件，其在将可打印文档的打印转化过程中都表现出了卓越的性能，尤其适用于新闻信息、网络课程网站和精品课程网站建设，能快速的完成待文档信息的制作、编辑、和在线浏览。

一、Print2Flash的工作原理

Print2Flash是一个虚拟打印机类的文档转换软件，只要是可打印的文档，都可以通过打印生成方式创建Flash格式文件（以.swf为扩展名的文件），特别是用于转换PDF、Word、Excel、PowerPoint等文档为Flash格式，并可在互联网上轻松和在线浏览阅读[1]。

Print2Flash软件可以从Print2Flash官方网站免费下载论文网，软件当前最新版本为Print2Flash 3.2，适用于Windows各版本的操作系统。Print2Flash软件安装十分简单，双击运行安装程序进行安装，安装完成后，自动在windows操作系统中生成一个“Print2Flash 3 Printer”虚拟打印机，类似于安装AdobeAcrobat软件生成Adobe PDF虚拟打印机的方式。通过“控制面板”打开“打印机和传真”窗口进行查看，如图1所示。

图1 Print2Flash虚拟打印机

使用Print2Flash可以轻松的将您的文档打印生成Flash格式文件和Html格式文件，能较好的保证文档内容格式和样式的正确性。Print2Flash具有强大的功能：提供了4个可定制的Flash界面主题，并且支持定制中文界面的播放器；支持通过打印、拖放、右键单击创建等方式将文档转换为Flash，转换后的Flash文件无损缩放，文本搜索等；支持超链接方式、嵌入网页和生成HTML；支持定制转换文件的界面和去除转换文档的Print2Flash标识；可保护转换文档的文本复制、禁用转换文档的打印、优化Flash Player版本、编程方式访问文档、可实现OLE自动调用API；支持Windows各版本操作系统；支持Adobe Flex、水印、页面缩略图、文档元素；支持选择多任务打印，服务器上多个用户许可和多语言文档界面[2]。

打印转换过程中可设置使用的Flash Player版本，定制Flash界面，如设置界面图标、添加水印、页面缩略图、文档权限(如禁止打印、禁止复制文本)等,以获得最佳的应用性、兼容性、美观性和安全性等。如图2所示。

图2 Print2Flash文档界面定制选项

Print2Flash软件提供了十分友好的人机交互界面，具有较为强大的功能选项来提高文档的浏览阅读，使用这些功能选项能大大提高文档的可阅读性。Print2Flash虚拟打印机软件打印生成的Flash格式文件的默认界面由软件Logo和十个功能按钮组成论文网，如图3所示。

图3 Print2Flash文档界面功能选项

①文档移动。选中时，使用鼠标可拖动文档页面变换显示位置；②文本选择。选中时，按住鼠标左键拖动选择需要复制的信息部分，被选中内容的背景色变为浅绿色，用复制快捷键CTRL+C进行复制，再用粘贴快捷键CTRL+V粘贴到需用的地方；③文档缩放。拖动或键入数字，改变文档显示的百分比； ④页面方式。选择适合当前页面的查看方式，页面适合或者宽度适合；⑤页面选择。点击前后按钮，可翻页查看内容；输入数字选择页面，当前页/总页面数；⑥内容搜索。键入要搜索的关键字后点击搜索，就可以在该文档中查找相应信息的所在位置；⑦页面旋转。点击时，可顺时针旋转页面内容；⑧打印。点击直接执行当前文档的打印；⑨新窗口显示。点击在新窗口打开浏览内容；⑩内容滑块。拖动滑块可快速查看页面内容或实现页面跳转。

二、Print2Flash在网络课程建设中的应用

在网络课程建设过程中，常常遇到信息量较大的Excel表或者是图文表混排的Word文档的情况。而将这些资料的到网络课程网站中，往往是作为附件上传，如果是通过复制/粘贴的方式，可能遇到可视化编辑工具的不能很好展现原有格式论文网，或者是由于信息量较大而出现不能的现象。

通过使用Print2Flash虚拟打印机软件，可以将这些信息量较大的Excel表或者是图文表混排的Word文档、PPT文档打印生成Flash格式文件，通过可视化编辑工具“插入Flash/Shockwave内容”功能将打印生成的Flash文件插入文档中[3]。如图4所示。

图4 可视化编辑工具“插入Flash/Shockwave内容”功能

在网络课程中，使用可视化编辑工具“插入Flash/Shockwave内容”功能Flash格式文件时，可以进一步设置Flash格式文件的宽和高、播放质量和播放方式等属性，这些可根据待内容在网络课程建设中的需要进行单独设置。如图5所示。

图5 “插入Flash/Shockwave文件”属性设置

通过以上方式将Print2Flash虚拟打印机软件打印生成的Flash格式文件到网络课程网站中，可大大减轻课程建设者的工作量、节省大量的时间和精力。同时，使用Print2Flash软件对不同学科教师的计算机应用能力要求较低，使用Print2Flash虚拟打印机软件就像使用普通打印机一样简单。使用过Print2Flash虚拟打印机软件的教师普遍反映Print2Flash具有良好的易用性、便捷性、安全性和可操作性。

参考文献：

[1]Print2Flash.Print2Flash[EB/OL].http://www.print2flash.com/index.php.2010.12.

[2]Print2Flash. How Print2Flash Compares withFlashPaper ?[EB/OL]. http://print2flash.com/flashpapercompare.php.2010.12

网页安全论文篇（10）

随着科学技术的突飞猛进，社会信息化的快速发展, 以信息技术为主要标志的高新技术革命已经引起了社会各个领域的深刻变革，网络已经成为社会生活不可分割的一部分。每天有数以亿计的网民在互联网上浏览、信息，互联网已经成为信息时代最为重要的信息集散地。对于边防情报部门而言，研究如何通过互联网和公安网快速高效地进行情报收集，使各项工作都围绕收集、运用情报而展开，已经成为当务之急。Web数据挖掘技术的兴起，为边防情报部门开展工作提供了高效的工具与手段。

一、Web数据挖掘技术

Web数据挖掘技术是由传统数据库领域的数据挖掘技术演变而来。数据挖掘就是从大量的、不完全的、有噪声的、模糊的、随机的原始数据中，提取隐含在其中的、事先未知的、但又潜在有用的信息的过程；它是从数据仓库中提取出可信的、新颖的、有效的，并能被人理解的模式的高级处理过程。数据挖掘出现于20世纪80年代，它不仅面向特定数据库的简单检索查询调用，而且要对这些数据进行深入的统计、分析和推理，发掘数据间的相互关系，完成从业务数据到决策信息的转换。数据挖掘技术把人们对数据的应用，从低层次的末端查询提高到为决策者提供决策支持。随着互联网的蓬勃发展，数据挖掘技术被运用到网络上，并根据网络信息的特点发展出了新的理论与方法，演变成为Web数据挖掘技术。Web数据挖掘是指从与WWW有关的资源和行为中抽取人们感兴趣的、有用的模式和隐含信息，所挖掘出的知识能够用于信息管理、查询处理、决策支持、过程控制等方面。Web数据挖掘已经成为对互联网信息进行深度分析、开发与利用的重要手段。

二、Web数据挖掘的分类

（一）Web内容挖掘

Web内容挖掘是指从互联网上检索资源，从相关文件内容及描述信息中获取有价值的潜在信息。根据处理对象的不同，Web内容挖掘分为文本挖掘和多媒体挖掘。网上信息形式多以文本信息的形式存在。文本可以被看作是一种顺序数据，目前有许多适合于顺序数据的挖掘方法。Web文本信息挖掘的主要任务一般限定在文本特征的表示、文本的总结，以及文本的分类和聚类等方面。互联网现有大量多媒体信息。对该类信息进行分析挖掘，找出合适的描述模式，阐述并理解其中的意义，可提高该类信息的识别度及检索效率，也是Web多媒体挖掘的目标。论文大全。目前此方面应用的技术手段主要是语音信息的理解及识别、图形图像信息的理解及识别，以及信息检索等。

(二) Web结构挖掘

Web结构挖掘的目标是Web文档的链接结构，目的在于揭示蕴涵于文档结构中的信息，主要方法是通过对Web站点的结构进行分析、变形和归纳，将Web页面进行分类，以利于信息的搜索。对Web页的链接结构进行分类，可以识别判断页面与文档间的各种属性关系。由于Web页的内外部存在具有各种属性关系的结构信息，通过研究Web结构信息，可得到相关主题、相关分类的页面集合，生成关于某个Web站点的结构和页面结构的概括信息。因此，结构挖掘的重点在于链接信息。

(三) Web日志挖掘

Web日志挖掘是从服务器访问日志、用户策略、用户对话和事物处理信息中得到用户的访问模式和感兴趣的信息，并尽可能预测用户的行为。通过对用户所访问页面、文档等的技术分析，Web日志挖掘可以找出相关主题间、相关内容间的联系规律。访问分析又称使用分析，主要使用用户基本信息如IP、ID、URL、日期、时间等进行处理。由于Web服务器的Log日志存在完整的结构，当用户访问Web站点时，相关的页面、文档、链接等信息在日志中都做了相应的记录。Web日志挖掘不仅要找出用户经常访问的URL路径，而且也要找出用户有可能要访问的相关站点的链接。利用这种方法，可以获知互联网使用者的行为偏好。

三、Web数据挖掘的主要方法

（一）统计分析方法

统计分析（statistical）方法是通过对总体中的样本数据进行分析，从而描述和推断能够揭示总体中的内部规律的信息和知识的方法。为了适应复杂信息的挖掘需求，往往依赖有明确目标和任务的概率模型。数据挖掘的统计模型要适合于所要提取的对象。利用统计分析技术可以对我们感兴趣的内容进行蕴含信息的挖掘。如对互联网日志进行统计可以获得有关站点使用的基本信息，包括页面访问次数、日平均访问人数、最受用户欢迎的页面等。除此以外，还可以进行错误分析，如非法用户登录等。这些统计数据都是基于用户浏览页面的时间、用户的浏览路径和路径长度等信息。这些统计数据对于提高系统的性能、安全性以及优化站点结构大有帮助。目前已有许多互联网流量分析工具实现了这些基本的统计功能。

（二）关联分析方法

关联分析（associationanalysis）用于发现关联规则，所谓关联规则是指在大量的数据中所隐含的项集之间的关系以及项集的频繁模式。用户在浏览网页时，经常会在同一次访问中浏览一些无顺序关系的页面集合，挖掘发现的这些页面之间内在的联系，就是就表现为它们之间存在一定的关联。如果关联规则中的页面之间没有超链接，则应该引起我们的特别关注。通常使用可信度、支持度、期望可信度和作用度这四个参数来描述关联规则。

（三）分类方法

分类（classification）是找出描述并区分数据类或概念的模型（或函数），以便能够使用模型预测类标记未知的对象类。分类不同于聚类，聚类无须事先制定标准，而能从信息本身出发，利用算法自动分类；而分类的准则是事先定好的。在Web数据挖掘中，分类主要是将用户配置文件归属到既定的用户类别，网页根据内容的属性分类等。分类技术要求抽取关键属性描述已知的信息，可以通过指导性归纳学习算法进行分类，主要包括决策树分类法、贝叶斯分类法、最近邻分类法等。

（四）聚类分析方法

聚类（clustering）就是将数据对象分组成为多个类或簇，在同一个簇中的对象之间具有较高的相似度，而不同簇中的对象差别较大。聚类分析能够将一批数据按照它们在性质上的亲密程度，在没有先验知识的情况下自动进行分类，每一类都是大量具有相似性个体的集合，不同类之间具有明显的区别。聚类分析是一种探索性分析，在分类过程中，人们不必事先给出一个分类的标准，聚类分析能够从信息本身出发，自动进行分类。例如在Web日志挖掘中，聚类分析主要集中于用户聚类和页面聚类。用户聚类将具有相似浏览行为的用户归类；页面聚类则是将内容相关的页面归类，搜索引擎可以利用这些信息为某个查询提供用户感兴趣的相关超链接。

四、Web数据挖掘在边防情报工作中的应用模式

（一）Web数据挖掘在建立公安网搜索引擎中的应用

目前，边防情报部门所需的公开信息大部分来源于互联网和公安网，情报人员通过使用搜索引擎来快速查询需要的信息，然而公安网的搜索引擎存在较大局限性，搜索出来的结果存在大量冗余信息，不能满足情报人员的需求。因此，在搜索引擎中通过借鉴Web数据挖掘技术可以有效地提高查准率和查全率，从而给情报人员提供较有准确的信息。具体应用方法如下:

1.根据公安网的页面内容，自动形成摘要

目前，使用公安网搜索引擎进行检索，检索的结果文档是以简单摘要形式出现的，它表现为机械地提取网页内容取前几句为摘要，这种仅通过位置进行自动摘要是很难真正反映出网页中的信息内容。论文大全。在文本挖掘中的文本抽取技术是指从文档中抽取出关键信息，然后以简洁的形式对文档的信息进行摘要或描述，即文本抽取技术是根据Web文档本身的内容，从Web页中提炼出重要信息形成文档摘要，而不是根据位置来进行文本内容的概括，因此它更能够反映出Web文档中的真正信息。论文大全。这样，情报人员通过浏览关键词就可以了解网页的大致内容，从而决定是否使用该信息。

2.根据检索结果，自动进行文档聚类

文本聚类是文本分类的逆向过程，是指将文档集中的文档分为更小的簇，要求同一簇内文档之间的相似性尽可能大，而簇与簇之间的关系尽可能小，这些簇相当于分类表中的类目。情报人员在使用搜索引擎时，会得到大量的返回信息组成的线性表，而其中很大一部分是与其查询请求不相关的，于是通过对检索结果的文档集合进行聚类，可以使得与用户检索结果相关的文档集中在一起，并远离那些不相关的文档。再将处理以后的信息以超链接结构组织的层次方式可视化地提供给情报人员，从而大大减短浏览时间。

（二）Web数据挖掘在建立公安网站中的应用

公安网网站是公安网信息的容纳处，我们可以利用Web数据挖掘技术有效地组织网站信息，建立一个资源优化的网站，也就是说通过对网站内容的数据挖掘，主要是对文本内容的挖掘，如采用自动归类技术实现网站信息的层次性组织；以及结合对用户访问日志记录信息的挖掘，把握用户的兴趣，开展网站信息推送服务。

1.采用自动归类技术，实现公安网网站信息层次化

一般而言，网站提供给访问者的信息和服务应该是按优先次序进行排列，网站维护人员应该把重要的信息放在醒目的位置，因此在网站维护时，通过对网站内容挖掘和Web日志挖掘，可以有效地组织网站信息。例如:采用自动归类技术实现网站信息层次化；分析访问者的访问行为，可为用户提供智能化、个性化服务。还可根据访问者的访问兴趣、访问频度、访问时间，动态地调整页面结构。

2.采用日志挖掘技术，实现公安网网站信息推送服务

网站可以根据访问者的浏览情况，发现访问者的兴趣，定期为注册用户提供相关信息，并且调整网站中网页的链接结构和内容，为访问者提供个人定制服务。具体步骤为：首先将日志文件中的数据经过预处理，形成原始数据库；然后获取用户的访问模式，放入用户访问模式数据库；再通过数据挖掘和模式分析形成知识数据库，Web服务器自动更新知识数据库，采用动态主页设计方法，根据用户的知识信息，提供相应的个性化主页。在数据预处理过程中会话识别是重要的一步，它取决于用户访问模式的有效性和准确性。为提高准确性，可采用Cookie法进行会话识别。在呈现个性化主页时，利用用户的IP地址和Cookie值查询知识数据库，发现用户频繁访问的路径，并自动形成相应链接，根据相似用户群和相关Web页推荐给用户。由于是经过挖掘和分析后所产生的动态主页，相对于一般的主页，其针对性更强，更受用户的欢迎。

参考文献：

[1]叶鹰.情报学基础教程[M].科学出版社,2006

[2]栗湘等.Web挖掘应用研究[J]情报理论与实践,2005,(6)

[3]曼丽春等.Web数据挖掘研究与探讨[J].现在电子技术,2006,(8)

网页安全论文篇（11）

一、引言

Internet已渗透到了社会的各个领域，不仅影响着我们的学习和工作，在Internet的发展中，WWW的发明和迅速推广应用是一个重要的里程碑。网页设计作为一门新兴的技术，是介于平面设计、编程技术两者之间的一门学科，它还涉及到美学心理、平面构成、色彩搭配等平面设计方面的知识。只有综合运用多种知识，才能设计出视听特效、动静结合、人机交互的WEB页面。

电子商务网站是一个非常丰富和方便的系统，很多是过去无法想像的，随着今天的社会的发展以及科学技术的发展，现在都可以想像得到。由此可以想像到未来的网页设计，那时候网页设计的要求是什么呢？怎样才能适应电子商务的发展呢？我有以下几点想法:网页能具有人性化;网页要具有相当的美感;网页更加强调交互性。

二、电子商务网站的安全现状

电子商务网站安全主要涉及网络信息的安全和网络系统本身的安全。电子商务网站安全的隐患主要来自操作系统、网络和数据库的脆弱性以及安全管理上的疏忽。电子商务网站安全从本质上讲就是网络上信息的安全，包括静态信息的存储安全和信息的传输安全。从广义上讲，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。因此为了保证网络的安全，必须保证以下四个方面的安全：运行系统的安全；

网络上系统信息的安全；网络上信息传播安全；网络上信息内容的安全。

以下是对目前国内电子商务站点普遍存在的几个严重的安全问题的一些分析。

1.客户端数据的完整性和有效性检查

(1)特殊字符的过滤

在W3C的WWWSecurityFAQ中关于CGI安全编程一节里列出了建议过滤的字符：&;“”\“|*?-＜＞^()[]{}\n\r，这些字符由于在不同的系统或运行环境中会具有特殊意义，如变量定义/赋值/取值、非显示字符、运行外部程序等，而被列为危险字符。

①CGI和Script编程语言的问题

在几种国内常见的WEB编程语言中，ASP和ColdFusion脚本语言对特殊字符的过滤机制不够完善，例如没有对单引号做任何处理等。Perl和php对特殊字符的过滤则较为严密，如忽略或加上“\”（取消特殊字符含义）处理。C语言编写的cgi程序对特殊字符的过滤完全依赖于程序员的知识和技术，因此也可能存在安全问题。

②MicrosoftASP脚本

普遍存在的问题是程序员在编写ASP脚本时,缺少或没有对客户端输入的数据/变量进行严格的合法性分析。因此,如果攻击者输入某些特定sql语句,可能造成数据库资料丢失/泄漏/甚至威胁整个站点的安全。比如攻击者可以任意创建或者删除表（如果可以猜测出已存在的表名），清除或者更改数据库数据。攻击者也可能通过执行一些储存过程函数,将sql语句的输出结果通过电子邮件发送给自己，或者执行系统命令。

③PHP和Perl

虽然提供了加上”\”（取消特殊字符含义）处理的手段，但是处理一些数据库时依然可以被改写。对于MySQL则没有问题，\’不会与前面的单引号封闭，而当作一个合法的字符处理。针对oracle和informix等数据库暂时未进行相关测试。

另外，对于PHP或者Perl语言，很多程序对于数字类型的输入变量，没有加单引号予以保护，攻击者就有可能在这种变量中加入额外的SQL语句，来攻击数据库或者获得非法控制权限。

(2)数据库问题

不同的数据库对安全机制的不同认识和实现方法，使它们的安全性也有所不同。最常见的问题是利用数据库对某些字符的不正确解释，改写被执行的SQL语句，从而非法获得访问权限。

2.大量数据查询导致拒绝服务

许多网站对用户输入内容的判断在前台，用JavaScript判断，如果用户绕过前台判断，就能对数据库进行全查询，如果数据库比较庞大，会耗费大量系统资源，如果同时进行大量的这种查询操作，就会有DenialofService（DoS——拒绝服务）同样的效果。

三、措施与解决方案

通过查阅一些资料，下面介绍一些网页制作中安全防范的方法，以供大家参考。

1.防范脚本攻击

(1)JS脚本和HTML脚本攻击的防范其实很简单，只要用server.HTMLEncode（Str）就可以了。当然全以＜%=uid%＞过滤，为了方便的过滤，只需要将HTML脚本和JS脚本中的几个关键字符过滤掉就可以了，如下代码所示：

以下是过滤函数CHK()

＜%

functionCHK(fqyString)

fqyString=replace(fqyString,“＞”,“＞”)

fqyString=replace(fqyString,“＜”,”＜“)

fqyString=replace(fqyString,“&#”,“&”)

fqyString=Replace(fqyString,CHR(32),“”)

fqyString=Replace(fqyString,CHR(9),“”)

fqyString=Replace(fqyString,CHR(34),“”“)

fqyString=Replace(fqyString,CHR(39),”‘“)

fqyString=Replace(fqyString,CHR(13),”“)

fqyString=Replace(fqyString,CHR(10)&CHR(10),”＜/P＞＜P＞“)

fqyString=Replace(fqyString,CHR(10),”＜BR＞“)

CHK=fqyString

endfunction

%＞

(2)很多站点在用户注册，或者是用户资料修改的页面上也缺少脚本的过滤，或者是只在其中之一进行过滤，注册进入后修改资料仍然可以进行脚本攻击。对用户提交的数据进行检测和过滤如以下代码：

IfInstr(request(”username“),”=“)＞0or

Instr(request(”username“),”%“)＞0or

Instr(request(”username“),chr(32))＞0or

Instr(request(”username“),”?“)＞0or

……

Instr(request(”username“),”＞“)＞0or

Instr(request(”username“),”＜“)＞0or

Instr(request(”username“),”“”“)＞0then

response.write”朋友，你的提交用户名含有非法字符，请更改，谢谢合作＜ahref=’****:window.history.go(-1);‘＞返回＜/a＞“response.end

endif

2.防范sqlinjeciton攻击

从最一般的.SQLInjection漏洞攻击来看，主要在用户名和密码上的过滤问题，提交：用户名为：‘or’‘=’用户密码为：‘or’‘=’从程序出发，数据库在执行以下操作Sql=“SELECT*FROMlUsersWHEREUsername=”or“=”andPassword=“or”=“”时，SQL服务器将返回lUsers表格中的所有记录，而ASP脚本将会因此而误认为攻击者的输入符lUsers表格中的第一条记录，从而允许攻击者以该用户的名义登入网站。对此类注入的防范可以利用以下代码就可以实现strUsername=Replace(Request.Form(“Username”),“‘’”,“‘’‘”)

strPassword=Replace(Request.Form(“Password”),“’‘”,“’‘’‘”)

3.防止ASP木马

防止ASP木马被上传到服务器的方法很简单，如果你的论坛支持文件上传，请设定好你要上传的文件格式，我不赞成使用可更改的文件格式，直接从程序上锁定，只有图象文件格式和压缩文件就完全可以，因为多给自己留点方便也就多给攻击者留点方便。怎么判断格式，如下面代码所示：

判断文件类型是否合格

PrivateFunctionCheckFileExt(fileEXT)

dimForumupload

Forumupload=”gif,jpg,bmp,jpeg“

Forumupload=split(Forumupload,”,“)

fori=0toubound(Forumupload)

iflcase(fileEXT)=lcase(trim(Forumupload(i)))then

CheckFileExt=true

exitFunction

else

CheckFileExt=false

endif

EndFunction

上述介绍的一些安全防范的方法在编写网页代码时被常用到，这些代码还是较为基本的一些代码，但能有效的防止一些黑客的攻击，当然加入了这些代码可能会降低程序的使用效率。做为一名网站的管理人员或网页制作人员在进行网页制作和网站维护时应加强安全防范的意识，确保在网络上进行数据传输的可靠性。

返回列表