第一篇：Web網(wǎng)站設(shè)計職業(yè)行情

Web網(wǎng)站設(shè)計職業(yè)行情

北京Web前端開發(fā)工程師招聘：

北京大正語言知識處理科技有限公司/漢語之聲國際網(wǎng)絡(luò)技術(shù)(北京)有限公司

一、工作職責(zé)：利用HTML/CSS/JavaScript/DOM等各種Web技術(shù)進(jìn)行產(chǎn)品的界面開發(fā)。制作標(biāo)準(zhǔn)優(yōu)化的代碼，并增加交互動態(tài)功能，開發(fā)JavaScript模塊，同時結(jié)合后臺開發(fā)技術(shù)模擬整體效果，進(jìn)行豐富互聯(lián)網(wǎng)的Web開發(fā)，致力于通過技術(shù)改善用戶體驗。

二、職位要求：

1、本科及以上學(xué)歷 ；

2、精通HTML/XHTML、CSS，熟悉頁面架構(gòu)和布局，對Web標(biāo)準(zhǔn)和標(biāo)簽語義化有深入理解；

3、精通Ajax、JavaScript、DOM等前端技術(shù)，掌握面向?qū)ο缶幊趟枷耄?/p>

4、熟悉一種以上后臺開發(fā)語言(如PHP/Java或C/C++/.NET)以及一種數(shù)據(jù)庫(如MySQL/Oracle)；

5、對Web技術(shù)創(chuàng)新及豐富互聯(lián)網(wǎng)應(yīng)用開發(fā)(Rich Internet Applications)有濃厚興趣；

6、對用戶體驗、交互操作流程、及用戶需求有深入理解；

7、極強的團隊協(xié)作精神、優(yōu)秀的學(xué)習(xí)能力與創(chuàng)新能力。

三、工資 4000-5000元/月

發(fā)布時間：2010-04-27

來源網(wǎng)站：智聯(lián)招聘網(wǎng)

北京賽嘉城電子商務(wù)有限公司

崗位職責(zé)：

1、負(fù)責(zé)將美工制作的頁面效果做成標(biāo)準(zhǔn)的HTML網(wǎng)頁原型；

2、負(fù)責(zé)開放平臺前端靜態(tài)頁面JS交互效果編寫及修改；

3、負(fù)責(zé)開放平臺WEB前端（動態(tài)頁面）最終交互效果的實現(xiàn)及修改；

4、負(fù)責(zé)協(xié)調(diào)技術(shù)開發(fā)人員進(jìn)行頁面與后臺程序銜接。

5、優(yōu)化網(wǎng)站前端性能；

6、優(yōu)化用戶界面易用性

能力要求：

1．大專以上學(xué)歷，至少2年web前臺開發(fā)工作經(jīng)驗

2．精通HTML/XHTM及JavaScript，熟悉W3C標(biāo)準(zhǔn)，熟練應(yīng)用開源JavaScript庫(如JQuery）；

3．可以快速、簡練的將網(wǎng)頁設(shè)計圖，使用DIV+CSS編寫成靜態(tài)頁面，能夠使用JS手工編寫前端效果，能夠使用AJAX方法實現(xiàn)前端效果，熟悉相關(guān)規(guī)范,有豐富的跨瀏覽器開發(fā)經(jīng)驗；

4．熟悉前端頁面優(yōu)化，具有高性能網(wǎng)站的構(gòu)建經(jīng)驗者優(yōu)先；

5．具有優(yōu)秀的學(xué)習(xí)能力與創(chuàng)新能力，并能夠承擔(dān)較強的工作壓力；

6．對用戶體驗與功能易用性有較為深刻的理解

7．良好的團隊合作意識和積極的工作態(tài)度；

8．有PHP開發(fā)經(jīng)驗者優(yōu)先；

發(fā)布時間：2011-03-30

來源網(wǎng)站：前程無憂 深圳市熾昂科技有限公司

職位描述

負(fù)責(zé)根據(jù)UI效果圖以DIV+CSS布局的方式切割成標(biāo)準(zhǔn)的HTML頁面,不斷優(yōu)化代碼并保持良好主流瀏覽器兼容性

負(fù)責(zé)配合后端開發(fā)人員實現(xiàn)界面功能和效果

職位要求

1、計算機相關(guān)專業(yè),2年以上相關(guān)工作經(jīng)驗；

2、精通HTML、DIV、CSS，熟悉頁面框架和布局,對WEB標(biāo)準(zhǔn)和標(biāo)簽語義有深入的理解

3、精通Javascript,JSON,AJAX等技術(shù),熟練運用常見JS框架，如JQuery、Prototype、Extjs等

4、能夠使用JavaScript進(jìn)行通用組件、類庫、框架編寫

5、具有大型互聯(lián)網(wǎng)行業(yè)工作經(jīng)驗者優(yōu)先考慮

其他要求：

1、具有良好的表達(dá)和溝通能力，思路清晰，較強的責(zé)任心、團隊精神以及動手能力

2、善于學(xué)習(xí)，對WEB前端技術(shù)有深厚的興趣和研究探索精神，并且愿意與團隊成員分享相關(guān)經(jīng)驗

3、個性開朗,在面對壓力時能夠保持良好的心態(tài)

發(fā)布時間：2011-03-29 綠盟科技

職位工作內(nèi)容簡要綜述：前端頁面開發(fā)

具體工作內(nèi)容與職責(zé)：

1、負(fù)責(zé)產(chǎn)品界面的前端開發(fā)，配合開發(fā)人員實現(xiàn)最終產(chǎn)品界面，并監(jiān)管界面開發(fā)質(zhì)量；

2、依據(jù)設(shè)計稿，高質(zhì)量完成HTML頁面原型的制作；

3、負(fù)責(zé)維護(hù)和更新界面設(shè)計標(biāo)準(zhǔn)和規(guī)范，并推廣標(biāo)準(zhǔn)和規(guī)范的實施；

4、交互控件的設(shè)計與開發(fā)，UI編碼規(guī)范的制定與推廣；

5、響應(yīng)公司網(wǎng)站相關(guān)的頁面制作與維護(hù)；

工作經(jīng)驗和技能要求：

1、本科以上學(xué)歷，2年以上前端開發(fā)經(jīng)驗；

2、精通HTML、CSS、Javascript,熟練掌握Photoshop、Dreamweaver等軟件，完成頁面制作，實現(xiàn)界面中的交互功能，并兼容主流瀏覽器，會Actionscript者優(yōu)先；

3、熟悉web標(biāo)準(zhǔn)，對表現(xiàn)與數(shù)據(jù)分離，HTML語義化等有深刻理解；

4、了解PHP或其他服務(wù)器編程語言，能協(xié)助后臺開發(fā)人員完成最終產(chǎn)品界面；

5、具備良好的團隊合作精神和積極主動的溝通意識；

6、對web技術(shù)鉆研有強烈興趣，有良好的學(xué)歷能力和強烈的進(jìn)取心。

發(fā)布時間：2011-03-30

來源網(wǎng)站：前程無憂

大洋網(wǎng)

職位描述：本職位隸屬于技術(shù)中心研發(fā)部，負(fù)責(zé)Web系統(tǒng)和功能的前端開發(fā)、維護(hù)。

職位要求：

1、本科以上學(xué)歷，計算機或相關(guān)專業(yè)；

2、熟悉各種Web前端技術(shù)，包括

XHTML/XML/CSS/Javascript/ActionScript等；

3、深刻理解Web標(biāo)準(zhǔn)，對可用性、可訪問性等相關(guān)知識有實際的了解和實踐經(jīng)驗；

4、有基于Ajax或Flash的RIA應(yīng)用開發(fā)經(jīng)驗；

5、溝通能力強，善于同多人協(xié)作完成任務(wù)；

6、抗壓能力強，可應(yīng)對較大的工作壓力；

7、有后臺語言（如Java/PHP/C++）經(jīng)驗者優(yōu)先；

8、有框架使用、subversion、開發(fā)流程管理等經(jīng)驗者優(yōu)先。

發(fā)布時間：2011-03-30

來源網(wǎng)站：前程無憂

廣州海然數(shù)碼科技有限公司

崗位職責(zé)

1、技術(shù)人員職位，在上級的領(lǐng)導(dǎo)和監(jiān)督下定期完成量化的工作要求；

2、能獨立處理和解決所負(fù)責(zé)的任務(wù)；

3、根據(jù)開發(fā)進(jìn)度和任務(wù)分配，完成相應(yīng)模塊軟件的設(shè)計、開發(fā)、編程任務(wù)；

4、進(jìn)行程序單元、功能的測試，查出軟件存在的缺陷并保證其質(zhì)量；

5、進(jìn)行編制項目文檔和質(zhì)量記錄的工作；

6、維護(hù)軟件使之保持可用性和穩(wěn)定性。任職資格

1、計算機相關(guān)專業(yè)背景，?？埔陨蠈W(xué)歷；

2、熟悉數(shù)據(jù)庫編程，精通數(shù)據(jù)庫應(yīng)用（SQLSERVER為主)；

3、熟練掌握.NETFramework（C#）或者ASP開發(fā)，能開發(fā)B/S構(gòu)架的應(yīng)用程序；

4、精通Javascript、動態(tài)網(wǎng)頁、AJAX、HTML、CSS等WEB技術(shù)

5、熟悉VB或者ASP語法

6、能獨立完成用戶交換界面的設(shè)計、有一定的審美和網(wǎng)頁設(shè)計能力的優(yōu)先考慮

7、做事嚴(yán)謹(jǐn)踏實，責(zé)任心強，條理清楚，善于學(xué)習(xí)總結(jié)，有良好的團隊合作精神和溝通協(xié)調(diào)能力。發(fā)布時間：2011-03-30

來源網(wǎng)站：珠江人才熱線 廣州跨際網(wǎng)絡(luò)科技有限公司

c# vb asp.net web開發(fā) 電子商務(wù)軟件工程師

崗位職責(zé)描述：

1、獨立進(jìn)行電子商務(wù)網(wǎng)站產(chǎn)品設(shè)計；

2、能管理外包項目以及獨立高質(zhì)量的完成開發(fā)任務(wù)；

任職資格描述：

1、計算機、信息管理或通信等相關(guān)專業(yè)本科及以上學(xué)歷。

2、精通C#開發(fā)語言；

3、熟悉.NET Framework 架構(gòu)體系，能夠非常熟練使用.NET平臺進(jìn)行編程：C#(Winform)，ASP.NET，JS，XML等）。能夠編寫高質(zhì)量的代碼；熟悉面向?qū)ο蟮乃枷?，有很好的業(yè)務(wù)分析設(shè)計和業(yè)務(wù)抽象能力；

4、有非常熟練的數(shù)據(jù)庫（SQL Server或 Mysql等）應(yīng)用經(jīng)驗，對數(shù)據(jù)結(jié)構(gòu)有清楚的認(rèn)識，有一定的數(shù)據(jù)庫設(shè)計能力；

5、有三年以上的開發(fā)經(jīng)驗，完整參與兩個以上項目的開發(fā) ；

6、有良好的溝通、理解能力，客戶導(dǎo)向意識 ；

7、有良好的自我學(xué)習(xí)能力、自我管理能力和團隊合作能力；

8、有財務(wù)軟件開發(fā)經(jīng)驗的優(yōu)先考慮。

一、崗位職責(zé)：

1、精通ASP.NET(C#)開發(fā)，熟悉WebService、AJAX；

2、熟悉三層架構(gòu),熟悉OOP設(shè)計編程理念；

3、熟悉DIV+CSS WEB標(biāo)準(zhǔn)化；

4、精通SQL語言，熟練使用SQL Server 2005，熟悉存儲過程開發(fā)；

二、職位要求：

1、大專及以上學(xué)歷，22-35歲，二年以上網(wǎng)站開發(fā)經(jīng)驗，有獨立建站或電子商務(wù)類網(wǎng)站建設(shè)經(jīng)驗者優(yōu)先；

2、積極上進(jìn)，善于學(xué)習(xí)，具備良好的分析、解決問題的能力；

3、有責(zé)任心，工作效率高，有良好交流溝通能力和團隊協(xié)作意識；

注：在簡歷中請?zhí)峁┚唧w開發(fā)網(wǎng)站網(wǎng)址及自己負(fù)責(zé)的功能。

三、符合以下條件者從優(yōu)：

有門戶級大型網(wǎng)站開發(fā)經(jīng)驗者。

發(fā)布時間：2011-03-28

來源網(wǎng)站：智聯(lián)招聘網(wǎng)

第二篇：Web系統(tǒng)網(wǎng)站設(shè)計報告

ASP.NET Web應(yīng)用網(wǎng)站設(shè)計報告

學(xué)院：計算機學(xué)院

姓名:

學(xué)號： 專業(yè)：

目錄

1、網(wǎng)站設(shè)計背景.........................................................................................................3 1．1開發(fā)環(huán)境：.......................................................................................................3

2、設(shè)計題目.................................................................................................................3

3、總體設(shè)計方案.........................................................................................................3 3.1功能設(shè)計..............................................................................................................4

4、處理流程.................................................................................................................4

5、功能的實現(xiàn).............................................................................................................5 5.1首頁設(shè)計效果......................................................................................................5 5.2圖書界面設(shè)計效果..............................................................................................9 5.3登錄功能設(shè)計效果............................................................................................13 5.4注冊功能設(shè)計效果............................................................................................15 5.5清倉、優(yōu)惠設(shè)計效果........................................................................................16 5.6加入購物車?yán)^續(xù)購買、付款設(shè)計效果............................................................18 5.7購物車及收銀臺................................................................................................19

6、數(shù)據(jù)庫設(shè)計............................................................................................................20 6.1數(shù)據(jù)庫設(shè)計方案................................................................................................20 6.2 部分截圖.........................................................................................................21 6.2.1數(shù)據(jù)庫建表.................................................................................................21 6.2.2保存用戶信息的表.....................................................................................21 6.2.3保存商品信息的表.....................................................................................22 6.2.4保存購物車信息的表.................................................................................22

7、總結(jié).......................................................................................................................22

1、網(wǎng)站設(shè)計背景

隨著計算機技術(shù)和網(wǎng)絡(luò)技術(shù)的迅速崛起，計算機日漸深刻的在改變著人們的生產(chǎn)生活方式。人們已經(jīng)對去固定的場所、購買(出售)固定的物品的交易方式所帶來的不便越來越感到不滿，交易的時間長、效率低。高額的運費、銷售場地的憑租費等繁多的額外開支也給商家?guī)沓林氐某杀局С?。為了適應(yīng)市場、適應(yīng)經(jīng)濟前進(jìn)的步伐，買家和商家都在努力積極地尋找一種能夠帶來高效率、低成本銷售模式。開發(fā)網(wǎng)上商城、研究網(wǎng)上商城的推廣方式，不僅能為其帶來新的盈利模式，也可以實現(xiàn)整個產(chǎn)業(yè)的共贏，而且對于我國電子商務(wù)在整個經(jīng)濟領(lǐng)域中的發(fā)展也有著非常深遠(yuǎn)而重要的意義。本系統(tǒng)是采用JspS+Mysql+RPC構(gòu)建的一個動態(tài)的網(wǎng)上書店網(wǎng)站在以輕量級數(shù)據(jù)庫Mysql為開發(fā)平臺，Tomcat為應(yīng)用服務(wù)器，采用JSP技術(shù)開發(fā)的網(wǎng)上商城購物系統(tǒng)。本系統(tǒng)分為前臺部分，和后臺部分，前臺主要由用戶使用，主要包括用戶注冊、登錄、瀏覽商品、購物車等功能。

1．1開發(fā)環(huán)境：

windows 7 vs2013 Sql server2014

2、設(shè)計題目

電子商務(wù)是指在企業(yè)互聯(lián)網(wǎng)、增值網(wǎng)和內(nèi)部網(wǎng)上以電子交易方式進(jìn)行交易活動和相關(guān)服務(wù)的活動，是傳統(tǒng)商業(yè)活動各環(huán)節(jié)的、電子化。隨著計算機和網(wǎng)絡(luò)的日趨普及，越來越多的商家建立了自己的B2C網(wǎng)站。比如淘寶網(wǎng)、蘇寧易購、亞馬遜、三星商城、以及各大團購網(wǎng)站等。要求用本學(xué)期所學(xué)ASP.NET WEB應(yīng)用開發(fā)技術(shù)以及參考、查找相關(guān)書籍，設(shè)計編程實現(xiàn)一個類似淘寶的購物網(wǎng)站，要求有以下功能：（1）注冊；（2）登錄；

（3）購物，在購物時有物品編號、圖片、名稱、簡介以及購買；（4）選中需要的物品時加入購物車點擊購買。

3、總體設(shè)計方案

網(wǎng)站設(shè)計使用單機作業(yè)，由手動輸入有關(guān)信息，可以選購圖書，上傳圖書，進(jìn)行用戶注冊等。前端開發(fā)語言使用HTML服務(wù)器采用使用SQL數(shù)據(jù)庫管理系統(tǒng)以及ASP.NET.3.1功能設(shè)計

作為一個網(wǎng)上購物系統(tǒng)，首先必須保證用戶的方便性，因此系統(tǒng)應(yīng)具有商品排行、清倉優(yōu)惠、以及最重要的“購物車”的功能，以便用戶可以方便的購買物品同時完成支付。在系統(tǒng)中應(yīng)列舉出商家的各種優(yōu)惠舉措和促銷信息。在系統(tǒng)的后臺，管理員能夠管理商品，用戶信息，產(chǎn)品信息，友情鏈接以及最重要的訂單處理模塊。在設(shè)計過程中，要處理好各部分的關(guān)系，并由此設(shè)計相關(guān)的數(shù)據(jù)庫。本網(wǎng)站應(yīng)具有的功能有：用戶注冊、登錄功能；商品瀏覽功能、購物車等功能；后臺部分主要有管理員操作，包括商品管理、公告管理、圖書優(yōu)惠管理等功能。(1)用戶注冊、登錄：購買本網(wǎng)站必須是本網(wǎng)站的會員，即必須先注冊會員，只有注冊核對信息登錄后，用戶才能正常進(jìn)行購物操作。

(2)購物車管理：會員選定一種商品后，就可以直接把圖書放到購物車中，提交訂單，完成支付；在未提交前可以隨意取消這件商品，繼續(xù)購買其他商品。(3)購買：選中圖書加入購物車點擊購買、付款；(4)商品信息簡介：對網(wǎng)上商城的商品進(jìn)行管理，包括商品上下架庫，商品信息、價格的制定等。

（5）后臺管理：包括用戶信息的保存、圖書信息的更新、優(yōu)惠、清倉活動的信息更新等。

4、處理流程

（1）用戶注冊：購買者進(jìn)入網(wǎng)站頁面后，首先要填寫注冊資料，在判斷無誤的情況下完成成功注冊，登陸網(wǎng)站首頁。

（2）商品購買：用戶通過登錄后，瀏覽商品，選擇圖書后，可以將圖書放入購物車，確認(rèn)繼續(xù)購物，在購物車頁面，可以對購物車?yán)锏膱D書進(jìn)行購買。

（3）管理員管理：管理員通過后臺登陸后，可以對商品信息、公告信息、優(yōu)惠、清倉信息等功能進(jìn)行操作。（4）用戶可以看到商品的簡介以及特價商品，查看商品信息后，可以選擇購買。

5、功能的實現(xiàn)

5.1首頁設(shè)計效果

部分代碼如下：

<%@PageLanguage=“C#”AutoEventWireup=“true”CodeFile=“detail.aspx.cs”Inherits=“detail”%>

第三篇：Web網(wǎng)站滲透測試論文

---------------

裝 訂 線---------------

XXX職業(yè)技術(shù)學(xué)院 畢業(yè)設(shè)計（論文）

題目： Web網(wǎng)站滲透測試技術(shù)研究

系

(院)信息系 專業(yè)班級 計算機網(wǎng)絡(luò) 學(xué)

號 1234567890 學(xué)生姓名 XXX 校內(nèi)導(dǎo)師 XXX 職

稱 講師 企業(yè)導(dǎo)師 XXX 職

稱 工程師 企業(yè)導(dǎo)師

XXX

職

稱

工程師

摘 要： Web網(wǎng)站滲透測試技術(shù)研究

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展和應(yīng)用領(lǐng)域的擴張，網(wǎng)絡(luò)安全問題越來越重要。相對于傳統(tǒng)的系統(tǒng)安全，Web網(wǎng)站的安全得到了越來越多的重視。首先，越來越多的網(wǎng)絡(luò)業(yè)務(wù)不再用專門的客戶機/服務(wù)器模式開發(fā)，而是運行在Web網(wǎng)站上用瀏覽器統(tǒng)一訪問；其次，和比較成熟的操作系統(tǒng)安全技術(shù)比較，Web網(wǎng)站的安全防護(hù)技術(shù)還不夠完善，當(dāng)前黑客也把大部分注意力集中在Web滲透技術(shù)的發(fā)展上，使Web網(wǎng)站安全總體上面臨相當(dāng)嚴(yán)峻的局面。

為了確保Web網(wǎng)站的安全，需要采用各種防護(hù)措施。在各種防護(hù)措施中，當(dāng)前最有效的措施是先自己模擬黑客攻擊，對需要評估的網(wǎng)站進(jìn)行Web滲透測試，找到各種安全漏洞后再針對性進(jìn)行修補。

本文在對Web網(wǎng)站滲透測試技術(shù)進(jìn)行描述的基礎(chǔ)上，配置了一個實驗用Web網(wǎng)站，然后對此目標(biāo)網(wǎng)站進(jìn)行了各種黑客滲透攻擊測試，找出需要修補的安全漏洞，從而加深了對Web安全攻防的理解，有利于以后各種實際的網(wǎng)絡(luò)安全防護(hù)工作。

關(guān)鍵詞：

網(wǎng)絡(luò)安全；Web網(wǎng)站；滲透測試

Web site penetration testing technology research

Abstract：

With the expansion of the network technology development and applications, network security issues become increasingly important.Compared with the traditional system security, Web security has got more and more attention.First, more and more network applications no longer develop with specialized client / server model, but run on the Web site and accessed by browser;Secondly, operating system security technology is relatively safe, but secure Web site protection technology is still not perfect, so the most of the current hackers’ attention focused on the development of Web penetration technology, the Web site is facing serious security situation in general.To ensure the security Web site, you need to use a variety of protective measures.In a variety of protective measures, the most effective measure is to own hacking simulation, the need to assess the Web site penetration testing, to find a variety of security vulnerabilities before specific repair.Based on the Web site penetration testing techniques described, the configuration of an experimental Web site, then this target site penetration of various hacker attack test, identify areas that need patching security holes, thereby deepening of Web security offensive understanding, there is conducive to future practical network security protection work.Keywords：

Network Security, Web sites, penetration testing

目錄

第一章 概述................................................................................................1

1.1 網(wǎng)絡(luò)安全概述..........................................................................................1 1.2 Web網(wǎng)站面臨的威脅...............................................................................1 1.3 Web滲透測試概述...................................................................................2

第二章 Web滲透測試方案設(shè)計...................................................................4

2.1 滲透測試網(wǎng)站創(chuàng)建..................................................................................4 2.2 滲透測試工具選擇..................................................................................4 2.3滲透測試方法...........................................................................................5

第三章 Web滲透測試過程...........................................................................6

3.1 掃描測試Web網(wǎng)站..................................................................................6 3.2 尋找Web安全漏洞..................................................................................7 3.3 SQL注入攻擊測試...................................................................................9 3.4 XSS跨站攻擊測試.................................................................................13 3.5 網(wǎng)馬上傳攻擊測試................................................................................17

第四章 Web網(wǎng)站防護(hù).................................................................................23

4.1 網(wǎng)站代碼修復(fù)........................................................................................23 4.2 其它防護(hù)措施........................................................................................24

總 結(jié).........................................................................................................25 參考文獻(xiàn).....................................................................................................25

第一章 概述

1.1 網(wǎng)絡(luò)安全概述

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)已經(jīng)越來越多地滲透到當(dāng)前社會生活的方方面面，網(wǎng)上電子商務(wù)、電子政務(wù)、電子金融等業(yè)務(wù)日益普及，網(wǎng)絡(luò)上的敏感數(shù)據(jù)也越來越多，自然對網(wǎng)絡(luò)安全提出了更高的要求。

根據(jù)一般的定義，網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，網(wǎng)絡(luò)服務(wù)不中斷。要做到這一點，必須保證網(wǎng)絡(luò)系統(tǒng)軟件、應(yīng)用軟件、數(shù)據(jù)庫系統(tǒng)具有一定的安全保護(hù)功能，并保證網(wǎng)絡(luò)部件，如終端、調(diào)制解調(diào)器、數(shù)據(jù)鏈路的功能僅僅能被那些被授權(quán)的人訪問。

在現(xiàn)實世界中，由于網(wǎng)絡(luò)相關(guān)的各種軟硬件安裝、配置、管理上面基本不可能做到?jīng)]有任何缺陷和漏洞，所以可以說不存在絕對的網(wǎng)絡(luò)安全。尤其在當(dāng)下網(wǎng)絡(luò)技術(shù)逐漸普及擴散的情境下，防范各種形式的黑客攻擊是網(wǎng)絡(luò)資源管理者必須嚴(yán)肅考慮的問題。

根據(jù)黑客攻擊的類型，大致可以分為兩種，一種是直接針對操作系統(tǒng)本身或應(yīng)用軟件的安全漏洞進(jìn)行的攻擊，傳統(tǒng)的注入端口掃描、弱口令爆破、緩沖器溢出都屬于這種類型的攻擊，如果攻擊成功往往可以直接遠(yuǎn)程控制目標(biāo)系統(tǒng)，因此一旦出問題危害極大，但針對這種攻擊的防范技術(shù)也比較成熟，采用最新的安全操作系統(tǒng)、強大的防火墻和IDS入侵檢測系統(tǒng)可以將絕大部分入侵企圖拒之門外。另外一種就是針對動態(tài)Web網(wǎng)站進(jìn)行的攻擊，它不像針對系統(tǒng)的攻擊那樣直接，成功后能在目標(biāo)系統(tǒng)上進(jìn)行的操作有限，往往還需要進(jìn)行提權(quán)等后續(xù)工作，但目前Web網(wǎng)站本身設(shè)計上的安全防護(hù)水平普遍不高，針對Web網(wǎng)站的防范措施目前也還不夠成熟，所以有安全問題的Web網(wǎng)站非常多，Web網(wǎng)站的攻防也是現(xiàn)在安全技術(shù)領(lǐng)域的研究熱點。

1.2 Web網(wǎng)站面臨的威脅

傳統(tǒng)上，網(wǎng)絡(luò)應(yīng)用業(yè)務(wù)采用C/S（客戶機和服務(wù)器）模式，即開發(fā)出安裝在普通客戶計算機上的遞交申請業(yè)務(wù)模塊和安裝在高性能服務(wù)器上的響應(yīng)請求業(yè)務(wù)模塊，這樣做的好處是性能高，響應(yīng)速度快，但缺點是需要為每個業(yè)務(wù)專門開發(fā)不同的服務(wù)端和客戶端，開發(fā)和學(xué)習(xí)的成本也高，所以現(xiàn)在的趨勢是將所有的服務(wù)模塊都放到Web網(wǎng)站上，而客戶機統(tǒng)一使用瀏覽器去訪問Web網(wǎng)站去實現(xiàn)業(yè)務(wù)功能。

用Web網(wǎng)站形式開發(fā)網(wǎng)絡(luò)業(yè)務(wù)有不少優(yōu)點，首先是客戶端統(tǒng)一為瀏覽器、降低了這方面的學(xué)習(xí)成本，另一方面，Web網(wǎng)站的主流開發(fā)語言（ASP、PHP、JSP等）是動態(tài)腳本語

言，比起用C/C++、Java等語言開發(fā)C/S程序，難度有所降低，有利于快速開發(fā)出所需的項目。但是從安全方面考慮，由于Web網(wǎng)站牽涉到的一些網(wǎng)絡(luò)協(xié)議先天的不足，以及由于網(wǎng)絡(luò)技術(shù)發(fā)展太快，網(wǎng)站復(fù)雜程度隨著需求擴展不斷膨脹，而網(wǎng)站開發(fā)程序員的水平和安全意識往往沒有跟上，導(dǎo)致Web網(wǎng)站非常容易出現(xiàn)各種安全漏洞，使黑客能夠?qū)ζ溥M(jìn)行各種形式的攻擊，常見的Web安全漏洞主要有SQL注入和XSS跨站攻擊等。SQL注入

SQL注入（SQL injection）是發(fā)生在Web應(yīng)用程序和后臺數(shù)據(jù)庫之間的一種安全漏洞攻擊，它的基本原理是：攻擊者精心構(gòu)建一個包含了SQL指令的輸入數(shù)據(jù)，然后作為參數(shù)傳遞給應(yīng)用程序，在應(yīng)用程序沒有對輸入數(shù)據(jù)做足夠的檢查的情況下，數(shù)據(jù)庫服務(wù)器就會被欺騙，將本來只能作為普通數(shù)據(jù)的輸入當(dāng)成了SQL指令并執(zhí)行。

數(shù)據(jù)庫是動態(tài)網(wǎng)站的核心，包含了很多網(wǎng)站相關(guān)的敏感數(shù)據(jù)，例如管理員的賬號和密碼等，所以一旦數(shù)據(jù)庫的信息被SQL注入非法查詢，這些敏感信息就會被泄露，導(dǎo)致嚴(yán)重后果。此外，SQL注入還可能被用于網(wǎng)頁篡改、網(wǎng)頁掛馬，更為嚴(yán)重的是，有些數(shù)據(jù)庫管理系統(tǒng)支持SQL指令調(diào)用一些操作系統(tǒng)功能模塊，一旦被SQL注入攻擊甚至存在服務(wù)器被遠(yuǎn)程控制安裝后門的風(fēng)險。XSS跨站攻擊

簡單地說，XSS也是由于Web應(yīng)用程序?qū)τ脩舻妮斎脒^濾不嚴(yán)而產(chǎn)生，攻擊者利用XSS漏洞可以將惡意的腳本代碼（主要包括html代碼和JavaScript腳本）注入到網(wǎng)頁中，當(dāng)其他用戶瀏覽這些網(wǎng)頁時，就會觸發(fā)其中的惡意腳本代碼，對受害者進(jìn)行諸如Cookie信息竊取、會話劫持、網(wǎng)絡(luò)釣魚等各種攻擊。

與主動攻擊Web服務(wù)器端的SQL注入攻擊不同，XSS攻擊發(fā)生在瀏覽器客戶端，對服務(wù)器一般沒有直接危害，而且總體上屬于等待對方上鉤的被動攻擊，因此XSS這種安全漏洞雖很早就被發(fā)現(xiàn)，其危害性卻曾經(jīng)受到普遍忽視，但隨著網(wǎng)絡(luò)攻擊者挖掘出了原來越多的XSS漏洞利用方式，加上Web2.0的流行、Ajax等技術(shù)的普及，使得黑客有了更多機會發(fā)動XSS攻擊，導(dǎo)致近年來XSS攻擊的安全事件層出不窮，對XSS攻防方面研究的重視程度明顯提高。

當(dāng)然，Web網(wǎng)站面臨的安全威脅還有很多，并且隨著網(wǎng)絡(luò)技術(shù)和網(wǎng)絡(luò)業(yè)務(wù)的發(fā)展而不斷更新，例如CSRF跨站請求偽造、界面操作劫持等。

1.3 Web滲透測試概述

由于各種安全漏洞，因特網(wǎng)上的Web網(wǎng)站面臨黑客攻擊的風(fēng)險，因此必須采取措施進(jìn)行防護(hù)工作。傳統(tǒng)防火墻因為必須放行Web服務(wù)的端口（一般是80端口），所以對SQL注 2

入、XSS跨站攻擊之類入侵手段沒有防護(hù)效果，現(xiàn)在也出現(xiàn)了一些專門用于保護(hù)Web網(wǎng)站的安全設(shè)備，例如WAF防火墻、安全狗等，但這些設(shè)備并不是萬能的，往往容易被高水平的入侵者繞過。最有效的措施還是進(jìn)行Web滲透測試。

滲透測試時安全模擬黑客可能使用的攻擊技術(shù)和漏洞發(fā)現(xiàn)技術(shù)，對目標(biāo)系統(tǒng)的安全做深入的探測，發(fā)現(xiàn)系統(tǒng)最脆弱的環(huán)節(jié)。滲透測試能夠直觀的讓管理人員知道自己網(wǎng)絡(luò)所面臨的問題。

Web滲透測試主要是對Web應(yīng)用程序和相應(yīng)的軟硬件設(shè)備配置的安全性進(jìn)行測試。進(jìn)行Web滲透測試的安全人員必須遵循一定的滲透測試準(zhǔn)則，不能對被測系統(tǒng)進(jìn)行破壞活動。Web安全滲透測試一般是經(jīng)過客戶授權(quán)的，采取可控制、非控制性質(zhì)的方法和手段發(fā)現(xiàn)目標(biāo)服務(wù)器、Web應(yīng)用程序和網(wǎng)絡(luò)配置中存在的弱點。

通過Web滲透測試后，即可有針對性地對Web網(wǎng)站上的安全漏洞進(jìn)行修補，最大程度地加固系統(tǒng)，確保安全。

第二章 Web滲透測試方案設(shè)計

2.1 滲透測試網(wǎng)站創(chuàng)建

為了研究Web滲透測試技術(shù)，我們需要一個測試用的Web網(wǎng)站，由于法律的限制，我們不能直接去攻擊互聯(lián)網(wǎng)上的Web網(wǎng)站，所以需要自己創(chuàng)建一個實驗測試用Web網(wǎng)站，這樣不但合法，而且還有利于測試完成后做修補加固和代碼審核工作。

測試Web網(wǎng)站可以創(chuàng)建在本地，也可以創(chuàng)建到自己購買的虛擬空間或云主機上，為了方便起見，這里選擇在云平臺上的一臺Windows 2003虛擬機系統(tǒng)上創(chuàng)建Web網(wǎng)站。

ASP、ASP.NET、PHP和JSP網(wǎng)站需要不同的環(huán)境，包括選用Apache、IIS、Nginx或者Weblogic中哪個Web服務(wù)器，數(shù)據(jù)庫也有Access、Microsoft SQL Server、MySQL以及Oracle等多種選擇。至于網(wǎng)站的源代碼，可以自己開發(fā)，但一般更常見是到互聯(lián)網(wǎng)上去搜尋開源的Web項目下載，例如中國站長網(wǎng)等，可以根據(jù)需求自己對網(wǎng)站源代碼進(jìn)行適當(dāng)?shù)牟眉粜薷?，也更好達(dá)到滲透測試目的。

如圖2-1所示，這里選用了IIS+ASP方案創(chuàng)建了一個測試用Web網(wǎng)站。

圖2-1 創(chuàng)建Web網(wǎng)站

2.2 滲透測試工具選擇

對Web網(wǎng)站進(jìn)行滲透測試的工作是在一臺能訪問Web網(wǎng)站的攻擊機上實施的，這些測試工作有些可以直接用手工操作，不過如果有適當(dāng)?shù)墓ぞ邘椭?，往往可以大幅度地提高滲 4

透測試的成功率和效率，因此選擇一套滲透測試用的工具軟件是必備的工作，這些工具一般包括端口掃描器、網(wǎng)站目錄掃描器、網(wǎng)站后臺掃描器、網(wǎng)站漏洞掃描器、SQL注入工具、XSS利用工具、轉(zhuǎn)碼工具、加解密工具等等。

如圖2-2所示，在本地攻擊機上安裝了一些常用的滲透測試工具。

圖2-2 滲透測試工具

2.3滲透測試方法

準(zhǔn)備好測試用Web網(wǎng)站和滲透測試工具后，即可在攻擊機上開始進(jìn)行Web滲透測試工作，方法是模擬真正黑客的入侵過程，綜合利用各種工具和手段，獲取目標(biāo)Web網(wǎng)站甚至網(wǎng)站所在服務(wù)器上的權(quán)限，從而挖掘出網(wǎng)站的各種安全漏洞，為后面的安全加固提供依據(jù)。當(dāng)然，這需要很高的技術(shù)水平和熟練的操作，沒有多年的經(jīng)驗積累是很難在各種情景下都能完成任務(wù)的，在下一章，我們就以一個比較簡單的，漏洞比較明顯的Web網(wǎng)站為例演示一下比較典型的Web滲透測試過程。

第三章 Web滲透測試過程

3.1 掃描測試Web網(wǎng)站

如圖3-1所示，滲透測試首先應(yīng)該先用Nmap之類的端口掃描工具掃描一下目標(biāo)網(wǎng)站所在的服務(wù)器，了解開放的端口服務(wù)，目標(biāo)可能的操作系統(tǒng)類型等信息。這里可以看到，目標(biāo)服務(wù)器的80號端口是開放的，所以Web服務(wù)應(yīng)該是正常的。

圖3-1 端口掃描

然后用瀏覽器打開網(wǎng)站驗證，如圖3-2所示：

圖3-2 Web網(wǎng)站瀏覽

3.2 尋找Web安全漏洞

我們可以用一些自動化的網(wǎng)站掃描工具去檢測網(wǎng)站的常見漏洞，也可以用純手工的方式進(jìn)行檢測，如圖3-3和3-4所示，在網(wǎng)頁URL后面添加“and 1=1”和“and 1=2”，發(fā)現(xiàn)網(wǎng)站返回的情況不同！說明這里存在著SQL注入漏洞。

圖3-3 SQL注入測試

圖3-4 SQL注入測試

如圖3-5所示，在地址欄后面添加“ “> ”，彈窗窗口出現(xiàn)，證明這里存在反射型XSS漏洞。

圖3-5 反射型XSS 如圖3-

6、3-7和3-8所示，在留言板里發(fā)表包含“ ”的帖子內(nèi)容，彈窗窗口出現(xiàn)，證明這里存在存儲型XSS漏洞。

圖3-6 留言板

圖3-7 XSS留言

圖3-8 存儲型XSS 3.3 SQL注入攻擊測試

在上一節(jié)已經(jīng)找到Web網(wǎng)站的SQL注入漏洞的基礎(chǔ)上，我們利用此漏洞去猜解網(wǎng)站后臺數(shù)據(jù)庫中的賬號和密碼，既可以用工具也可以用手工方式，這里為方便起見選用注入工具，如圖3-9和3-10所示，很快猜解出賬號和密碼。

圖3-9 工具掃描SQL注入漏洞

圖3-10 注入找到后臺賬號密碼

從密碼的形式可以看出不是明文而是原始密碼的MD5散列碼，MD5是單向散列函數(shù)，本來是不能破解的，不過如果密碼原文比較簡單，也可能用暴力破解的方式找到原密碼，如圖3-

11、3-12和3-13所示。

圖3-11 破解MD5

圖3-12 破解成功

圖3-13 破解出密碼原文

有了賬號和密碼后，掃描網(wǎng)站的管理后臺地址，如圖3-14所示。

圖3-14 掃描出管理后臺

如圖3-15和3-16所示，用前面注入猜解和破解獲取的賬號和密碼登錄，成功進(jìn)入Web網(wǎng)站的管理后臺界面。

圖3-15 登錄管理后臺

圖3-16 進(jìn)入管理后臺

3.4 XSS跨站攻擊測試

前面已經(jīng)通過手工方式探測到網(wǎng)站存在XSS漏洞，XSS漏洞屬于一種比較被動的安全漏洞，不能用來直接攻擊服務(wù)器，而是一部用來攻擊其他客戶端，具體利用的方法和形式很多，下面是利用XSS漏洞竊取管理員cookie的步驟。

圖3-17 XSS利用平臺網(wǎng)站

如圖3-17所示，XSS漏洞攻擊者自己創(chuàng)建一個具有XSS漏洞利用功能的網(wǎng)站，然后為自己創(chuàng)建一個項目，生成具有竊取cookie功能的代碼，如圖3-18所示：

圖3-18 XSS利用代碼

現(xiàn)在攻擊者可以設(shè)法利用各種欺騙手段讓其他Web網(wǎng)站用戶執(zhí)行XSS代碼，這里利用存儲型XSS漏洞，由攻擊者在留言板上發(fā)表包含XSS利用代碼的內(nèi)容插入網(wǎng)站數(shù)據(jù)庫，如圖3-19所示。

圖3-19 將代碼插入目標(biāo)Web網(wǎng)站

如圖3-20所示，一旦Web網(wǎng)站的管理員在登錄狀態(tài)下查看了留言板，XSS利用代碼就 14

在后臺隱蔽執(zhí)行了。

圖3-20 管理員被攻擊

此時攻擊者回到XSS網(wǎng)站，會發(fā)現(xiàn)自己的項目中返回了數(shù)據(jù)，如圖3-21所示。

圖3-21 攻擊者收到cookie

如圖3-22所示，攻擊者竊取到了Web網(wǎng)站管理員的cookie信息。

圖3-22 竊取到的cookie值

如圖3-23和3-24所示，有了竊取到的cookie信息，再借助一些cookie修改工具，可以不輸入密碼直接進(jìn)入管理后臺界面。

圖3-23 cookie修改工具

圖3-24 竊取cookie進(jìn)入管理界面

3.5 網(wǎng)馬上傳攻擊測試

前面利用SQL注入漏洞拿到管理賬戶和密碼后可以非法進(jìn)入后臺管理界面，但到這來一般并不能做多少事，用后臺權(quán)限篡改新聞掛黑頁是很無聊的事情，常見的做法是想辦法將網(wǎng)頁木馬上傳到網(wǎng)站獲取Webshell得到網(wǎng)站所在服務(wù)器的某些權(quán)限，然后有需要和可能再設(shè)法提權(quán)。

如圖3-25所示，在Web網(wǎng)站管理后臺里找到一個能夠上傳自己圖片的地方，然后選擇上傳文件，如圖3-26和3-27所示，直接上傳asp格式的網(wǎng)馬是通不過檢查的，所以上傳一個偽裝成圖片文件的小馬，結(jié)果成功上傳，并被自動重命名，如圖3-28和3-29所示。

圖3-25 上傳圖片

圖3-26 選擇文件

圖3-27 上傳網(wǎng)馬圖片

圖3-28 上傳成功

圖3-29 上傳文件位置和名稱

現(xiàn)在網(wǎng)馬內(nèi)容上傳上去了，但文件后綴名不對，所以不能訪問執(zhí)行，所以需要再利用類似如圖3-30所示的備份漏洞，將上傳的文件的后綴名成功改回asp。

圖3-30 備份改名

現(xiàn)在可以直接訪問上傳成功的網(wǎng)馬，如圖3-31所示是小馬的效果，利用它在上傳一個功能齊全的大馬，如圖3-32和3-33所示。

圖3-31 訪問網(wǎng)馬

圖3-32 上傳大馬

圖3-33 訪問大馬

現(xiàn)在可以直接訪問大馬網(wǎng)頁文件，如圖3-34所示，登錄成功后即得到類似圖3-35所示的Webshell界面，根據(jù)權(quán)限可以對Web網(wǎng)站所在的服務(wù)器進(jìn)行操作，如果有其他系統(tǒng)和軟件漏洞，還可以設(shè)法提權(quán)，獲取對服務(wù)器的完全控制權(quán)。

圖3-34 網(wǎng)馬登錄

圖3-35 獲取Webshell

第四章 Web網(wǎng)站防護(hù)

4.1 網(wǎng)站代碼修復(fù)

經(jīng)過Web滲透測試，我們發(fā)現(xiàn)了網(wǎng)站的安全漏洞及其嚴(yán)重后果，下一步自然就是部署安全防護(hù)措施，堵塞漏洞。

對Web網(wǎng)站后臺代碼進(jìn)行閱讀審核后，可知正是因為網(wǎng)站查詢數(shù)據(jù)庫的SQL語句缺少必要的過濾措施才導(dǎo)致了SQL注入、XSS等安全漏洞。修補漏洞的最好辦法是用安全編碼方式徹底重寫所有相關(guān)代碼，如果沒有這個條件，添加一些過濾代碼也是比較好的辦法，例如圖4-1所示，在數(shù)據(jù)庫連接文檔中添加了對用戶提交值中非法參數(shù)的檢測。

圖4-1 過濾代碼

添加過濾代碼后，黑客如果再企圖對Web網(wǎng)站進(jìn)行諸如SQL注入之類的攻擊，就會被攔截而歸于失敗，如圖4-2所示。

圖4-2 SQL注入被攔截

需要注意的是，黑名單式的過濾代碼并不是萬能的，往往會被更高水平的黑客攻擊繞過，所以還應(yīng)根據(jù)攻防技術(shù)的發(fā)展及時更新，并結(jié)合其他安全防范措施。

4.2 其它防護(hù)措施

因為現(xiàn)在的Web網(wǎng)站功能越來越多，也越來越復(fù)雜，相應(yīng)的黑客攻擊技術(shù)也在不斷發(fā)展，所以往往不是單一的安全防護(hù)措施就能有效抵御各種滲透攻擊，而需要綜合采用各種措施，一方面盡可能將所有的安全漏洞堵住，另一方面可以爭取做到即使黑客攻破了某個安全措施，也會被其他安全措施攔截，將損失降低到最小。

目前比較常用的Web安全防范措施有：盡量選用高版本的操作系統(tǒng)Web服務(wù)器，設(shè)置高強度的密碼，給網(wǎng)站目錄設(shè)置最小的必要權(quán)限，加裝Web防火墻和殺毒軟件監(jiān)控網(wǎng)頁木馬等。

最后需要指出，Web滲透和防護(hù)技術(shù)還處在快速發(fā)展階段，所以沒有一勞永逸的安全，必須不斷學(xué)習(xí)，與時俱進(jìn)。

總 結(jié)

網(wǎng)絡(luò)安全是當(dāng)前的一個技術(shù)研究熱點，Web安全又是網(wǎng)絡(luò)安全中的一個核心問題。Web滲透測試則是強化Web網(wǎng)站安全的重要技術(shù)手段，它是在獲得授權(quán)的情況下，模擬真實的黑客攻擊手段對目標(biāo)Web站點進(jìn)行入侵測試，因此能夠最大程度挖掘出Web網(wǎng)站的安全漏洞，為Web安全防護(hù)提供有效依據(jù)。

本文是在真實網(wǎng)絡(luò)環(huán)境里自己搭建了一個Web網(wǎng)站，然后自己對其進(jìn)行滲透測試，研究Web安全相關(guān)攻防技術(shù)。限于水平，創(chuàng)建的Web網(wǎng)站和攻防所用的技術(shù)都比較簡單，沒有涉及當(dāng)前最新的Web網(wǎng)站漏洞測試，但仍然比較完整地展示了Web網(wǎng)站滲透測試和防護(hù)的過程，為以后進(jìn)一步學(xué)習(xí)和工作打下良好基礎(chǔ)。

參考文獻(xiàn)

[1] 陳小兵，范淵，孫立偉.Web滲透技術(shù)及實戰(zhàn)案例解析 [M].北京：電子工業(yè)出版社，2012.4 [2] 王文君，李建蒙.Web應(yīng)用安全威脅與防治 [M].北京：電子工業(yè)出版社，2013.1 [3] 吳翰清.白帽子講Web安全 [M].北京：電子工業(yè)出版社，2012.3 [4] 鮑洪生.信息安全技術(shù)教程 [M].北京：電子工程出版社，2014.3 25

第四篇：Web網(wǎng)站的設(shè)計、管理與維護(hù)（xiexiebang推薦）

Web網(wǎng)站的設(shè)計、管理與維護(hù)

如果你在因特網(wǎng)上發(fā)現(xiàn)一個對你的工作有幫助或有參考價值的網(wǎng)站，你一定會將其網(wǎng)址告訴你的同事；如果找到你的朋友需要的信息，你同樣記下網(wǎng)址告訴你的朋友；要是在網(wǎng)上沖浪時偶然遇到特別有興趣的網(wǎng)站，你肯定加入到自己瀏覽器的書簽中，每一個上網(wǎng)者都會這樣做的。有許多人員設(shè)計過網(wǎng)站和個人主頁，這在技術(shù)實現(xiàn)上已十分容易，有許多幾乎不用編程的所見即所得的工具軟件可以利用。但是讓人們從浩如煙海的站點中，訪問瀏覽你的站點甚至為你宣傳，就不是那么簡單，因為鼠標(biāo)和鍵盤是永遠(yuǎn)掌握在上網(wǎng)者手中的。設(shè)計者如何設(shè)計出達(dá)到預(yù)期效果的站點和網(wǎng)頁，是需要深刻理解用戶的需求并對人們上網(wǎng)時的心理進(jìn)行認(rèn)真的分析研究。

因特網(wǎng)正在改變世界，它促成了網(wǎng)絡(luò)經(jīng)濟雛形的形成，特別是電子商務(wù)正由新概念走向?qū)嵱没Ｓ捎谝蛱鼐W(wǎng)具有傳播信息容量極大、形態(tài)多樣、迅速方便、全球覆蓋、自由和交互的特點，已經(jīng)發(fā)展成為新的傳播媒體，所以全球幾乎各個企業(yè)、機構(gòu)紛紛建立自己的Web站點。并且由此產(chǎn)生了一個新的工作崗位——網(wǎng)站設(shè)計者（Website Designer）和網(wǎng)站管理者（WebMaster）。如何設(shè)計出達(dá)到用戶目的的網(wǎng)站，吸引盡可能多的人參觀訪問是一個值得研究的課題。吸引大量的網(wǎng)民訪問你的站點只是成功的一半，以獨特的內(nèi)容和服務(wù)使網(wǎng)民再來訪問，或向他的朋友介紹網(wǎng)址才是真正的成功。

Web站點是向用戶或潛在客戶提供信息(包括產(chǎn)品和服務(wù))的一種方式。其文檔所包含的內(nèi)容是由被稱為超文本(HyperText)的文本、圖形圖象、聲音，甚至電影等組成。使這些超文本能夠有機地關(guān)聯(lián)并可使瀏覽器識別，是通過HTML語言(HyperText Markup Language超文本標(biāo)記語言)實現(xiàn)的。同時CGI(Common Gateway Interface公共網(wǎng)關(guān)接口)能使Web具有交互功能。Web站點指引用戶瀏覽該站點或其他站點上的分頁信息，可以通過表格和電子郵件的連接提供雙向交互方式。站點建立后，你的企業(yè)就在國內(nèi)、甚至在國際上有了一席之地，有了每周7天、每天24小時的“虛擬門市部”。網(wǎng)站是未來企業(yè)開展電子商務(wù)的基礎(chǔ)設(shè)施和信息平臺，它是“知識經(jīng)濟”的制高點，企業(yè)的網(wǎng)址猶如企業(yè)的商標(biāo)和品牌一樣，是反映企業(yè)形象和文化的巨大的無形資產(chǎn)。

本文總結(jié)歸納了Web網(wǎng)站的設(shè)計、管理與維護(hù)的十二項要點，與大家一起探討。

一、目標(biāo)明確、定位正確

Web站點的設(shè)計是企業(yè)或機構(gòu)發(fā)展戰(zhàn)略的重要組成部分。要將企業(yè)站點作為在因特網(wǎng)－－這個新媒體上展示企業(yè)形象、企業(yè)文化的信息空間，領(lǐng)導(dǎo)一定要給予足夠的重視，明確設(shè)計站點的目的和用戶需求，從而作出切實可行的計劃。

挑選與錘煉企業(yè)的關(guān)鍵信息，利用一個邏輯結(jié)構(gòu)有序地組織起來，開發(fā)一個頁面設(shè)計原型，選擇用戶代表來進(jìn)行測試，并逐步精煉這個原型，形成創(chuàng)意。

分析有些網(wǎng)站的效果不如預(yù)想的好，主要原因是對用戶的需求理解有偏差，缺少用戶的檢驗造成的。設(shè)計者常常將企業(yè)的市場營銷和商業(yè)目標(biāo)放在首位，而對用戶和潛在的用戶的真正需求了解不多。所以，企業(yè)或機構(gòu)應(yīng)清楚地了解本網(wǎng)站的受眾群體的基本情況，如受教育程度、收入水平、需要信息的范圍及深度等，從而能夠有的放矢。

二、主題鮮明、富有特色

在目標(biāo)明確的基礎(chǔ)上，完成網(wǎng)站的構(gòu)思創(chuàng)意即總體設(shè)計方案。對網(wǎng)站的整體風(fēng)格和特色作出定位，規(guī)劃網(wǎng)站的組織結(jié)構(gòu)。

Web站點應(yīng)針對所服務(wù)對象（機構(gòu)或人）不同而具有不同的形式。有些站點只提供簡潔文本信息；有些則采用多媒體表現(xiàn)手法，提供華麗的圖像、閃爍的燈光、復(fù)雜的頁面布置，甚至可以下載聲音和錄像片段。最好的Web站點將把圖形圖像表現(xiàn)手法與有效的組織與通信結(jié)合起來。

要做到主題鮮明突出，力求簡潔，要點明確，以簡單明確的語言和畫面告訴大家本站點的主題，吸引對本站點有需求的人的視線，對無關(guān)的人員也能留下一定的印象。對于一些行業(yè)標(biāo)志和公司的標(biāo)志應(yīng)充分加以利用。

調(diào)動一切手段充分表現(xiàn)網(wǎng)站的個性和情趣，突出個性，辦出網(wǎng)站的特色。

Web站點主頁應(yīng)具備的基本成分包括：

頁頭：準(zhǔn)確無誤地標(biāo)識你的站點和企業(yè)標(biāo)志；

E-mail地址：用來接收用戶垂詢；

聯(lián)系信息：如普通郵件地址或電話；

版權(quán)信息。

注意重復(fù)利用已有信息，如客戶手冊、公共關(guān)系文檔、技術(shù)手冊和數(shù)據(jù)庫等可以輕而易舉地用到企業(yè)的Web站點中。

三、版式編排布局合理

網(wǎng)頁設(shè)計作為一種視覺語言，當(dāng)然要講究編排和布局，雖然主頁的設(shè)計不等同于平面設(shè)計，但它們有許多相近之處，應(yīng)充分加以利用和借鑒。

版式設(shè)計通過文字圖形的空間組合，表達(dá)出和諧與美。版式設(shè)計通過視覺要素的理性分析，和嚴(yán)格的形式構(gòu)成訓(xùn)練，培養(yǎng)對整體畫面的把握能力和審美能力。一個優(yōu)秀的網(wǎng)頁設(shè)計者也應(yīng)該知道哪一段文字圖形該落于何處，才能使整個網(wǎng)頁生輝。

努力做到整體布局合理化、有序化、整體化。優(yōu)秀之作，善于以巧妙、合理的視覺方式使一些語言無法表達(dá)的思想得以闡述，做到豐富多樣而又簡潔明了。

多頁面站點頁面的編排設(shè)計要求把頁面之間的有機聯(lián)系反映出來，這里主要的問題是頁面之間和頁面內(nèi)的秩序與內(nèi)容的關(guān)系。為了達(dá)到最佳的視覺表現(xiàn)效果，應(yīng)講究整體布局的合理性。特別是關(guān)系十分緊密的有上下文關(guān)系的頁面，一定設(shè)計有向前和向后的按鈕，便于瀏覽者仔細(xì)研讀。

站點設(shè)計簡單有序，主次關(guān)系分明，將零亂頁面的組織過程混雜的內(nèi)容依整體布局的需要進(jìn)行分組歸納，經(jīng)過進(jìn)行具有內(nèi)在聯(lián)系的組織排列，反復(fù)推敲文字、圖形與空間的關(guān)系，使瀏覽者有一個流暢的視覺體驗。

四、色彩和諧重點突出

色調(diào)及黑、白、灰的三色空間關(guān)系不論在設(shè)計還是在繪畫方面都起著重要的作用。在頁面上一定得明確調(diào)性，而其它有色或無色的內(nèi)容均屬黑、白、灰的三色空間關(guān)系，從而構(gòu)成它們的空間層次。

色彩是藝術(shù)表現(xiàn)的要素之一，它是光刺激眼睛再傳導(dǎo)到大腦中樞而產(chǎn)生的一種感覺。在網(wǎng)頁設(shè)計中，根據(jù)和諧、均衡和重點突出的原則，將不同的色彩進(jìn)行組合、搭配來構(gòu)成美麗的頁面。

利用色彩對人們心理的影響的成果，合理地加以運用。按照色彩的記憶性原則，一般暖色較冷色的記憶性強。色彩還具有聯(lián)想與象征的特質(zhì)，如：紅色象征火、血、太陽；藍(lán)色象征大海、天空和水面等。所以設(shè)計出售冷食的虛擬店面，應(yīng)使用消極而沉靜的顏色，使人心理上感覺涼爽一些。

在色彩的運用過程中，還應(yīng)注意的一個問題是：由于國家和種族的不同，宗教和信仰的不同，生活的地理位置、文化修養(yǎng)的差異，不同的人群對色彩的喜惡程度有著很大差異。如：兒童喜歡對比強烈、個性鮮明的純顏色；生活在草原上的人喜歡紅色；生活在鬧市中的人喜歡淡雅的顏色；生活在沙漠中的人喜歡綠色。在設(shè)計中要考慮主要讀者群的背景和構(gòu)成。

五、形式內(nèi)容和諧統(tǒng)一

形式服務(wù)于內(nèi)容，內(nèi)容又為目的服務(wù)，形式與內(nèi)容的統(tǒng)一是設(shè)計網(wǎng)頁的基本原則之一。

畫面的組織原則中，將豐富的意義和多樣的形式組織在一個統(tǒng)一的結(jié)構(gòu)里，形式語言必須符合頁面的內(nèi)容，體現(xiàn)內(nèi)容的豐富含義。

運用對比與調(diào)和，對稱與平衡，節(jié)奏與韻律以及留白等手段，如通過空間、文字、圖形之間的相互關(guān)系建立整體的均衡狀態(tài)，產(chǎn)生和諧的美感。如對稱原則在頁面設(shè)計中，它的均衡有時會使頁面顯得呆板，但如果加入一些動感的的文字、圖案，或采用夸張的手法來表現(xiàn)內(nèi)容往往會達(dá)到比較好的效果。

點、線、面是視覺語言中的基本元素，使用點、線、面的互相穿插、互相襯托、互相補充構(gòu)成最佳的頁面效果。

點是所有空間形態(tài)中最簡潔的元素，也可以說是最活躍、最不安分的元素。設(shè)計中，一個點就可以包羅萬象，體現(xiàn)設(shè)計者的無限心思，網(wǎng)頁中的圖標(biāo)，單個圖片，按鈕或一團文字等都可以說是點。點是靈活多變的，我們可以將一排文字視為一個點，將一個圖形視為一個點。在網(wǎng)頁設(shè)計中的點，由于大小、形態(tài)、位置的不同而給人不同的心理感受。

線是點移動的軌跡，線在編排設(shè)計中有強調(diào)、分割、導(dǎo)線，視覺線的作用。線會因方向、形態(tài)的不同而產(chǎn)生不同的視覺感受，例如垂直的線給人平穩(wěn)、挺立的感覺，弧線使人感到流暢、輕盈；曲線使人跳動、不安。在頁面中內(nèi)容較多時，就需進(jìn)行版面分割，通過線的分割保證頁面良好的視覺秩序，頁面在直線的分割下，產(chǎn)生和諧統(tǒng)一的美感；通過不同比例的空間分割，有時會產(chǎn)生空間層次韻律感。

面的形態(tài)除了規(guī)則的幾何形體外，還有其它一些不規(guī)則的形態(tài)，可以說表現(xiàn)形式是多種多樣的。面在平面設(shè)計中是點的擴大，線的重復(fù)形成的。面狀給人以整體美感，使空間層次豐富，使單一的空間多元化，在表達(dá)較含蓄。

網(wǎng)頁設(shè)計中點、線、面的運用并不是孤立的，很多時候都需要將它們結(jié)合起來，表達(dá)完美的設(shè)計意境。

六、三維空間指置有方

網(wǎng)絡(luò)上的三維空間是一個假想空間，這種空間關(guān)系需借助動靜變化、圖像的比例關(guān)系等空間因素表現(xiàn)出來。

在頁面中圖片、文字位置前后疊壓，或位置疏密或頁面上、左、右、中、下位置所產(chǎn)生的視覺效果都各不相同。在網(wǎng)頁上，圖片、文字前后疊壓所構(gòu)成的空間層次目前還不多見，網(wǎng)上更多的是一些設(shè)計得比較規(guī)范化、簡明化的頁面，這種疊壓排列能產(chǎn)生強節(jié)奏的空間層次，視覺效果強烈。網(wǎng)頁上常見的是頁面上、左、右、下、中位置所產(chǎn)生的空間關(guān)系，以及疏密的位置關(guān)系所產(chǎn)生的空間層次，這兩種位置關(guān)系使視覺流程生動而清晰，視覺注目程度高。疏密的位置關(guān)系使產(chǎn)生的空間層次富有彈性，同時也讓人產(chǎn)生輕松或緊迫的心理感受。

需指出，隨著Web的普及和計算機技術(shù)的迅猛發(fā)展，人們對Web語言的要求也日益增長。人們已不滿足于HTML語言編制的二維Web頁面，三維世界的誘惑開始吸引更多的人，虛擬現(xiàn)實要在Web網(wǎng)上展示其迷人的風(fēng)采，于是VRML語言出現(xiàn)了。VRML是一種面向?qū)ο笠环N語言，它類似Web超級鏈接所使用的HTML語言，也是一種基于文本的語言，并可以運行在多種平臺之上，只不過能夠更多的為虛擬現(xiàn)實環(huán)境服務(wù)。VRML只是一種語言，對于三維環(huán)境的藝術(shù)設(shè)計仍需要理論和實踐指導(dǎo)。

七、多媒體功能的利用

最大資源優(yōu)勢在于多媒體功能，因而要盡一切努力挖掘它，吸引瀏覽者保持注意力。因而畫面的內(nèi)容應(yīng)當(dāng)有一定的實用性，如產(chǎn)品的介紹甚至可以用三維動畫來表現(xiàn)。

這里需要注意的問題是，由于網(wǎng)絡(luò)帶寬的限制，在使用多媒體的形式表現(xiàn)網(wǎng)頁的內(nèi)容時應(yīng)考慮客戶端的傳輸速度，或者說將多媒體的內(nèi)容控制在用戶可接收的下載時間內(nèi)是十分必要的。

八、相關(guān)站點引導(dǎo)鏈接

一個好的網(wǎng)站的基本要素是用戶進(jìn)入后，與本網(wǎng)站相關(guān)的信息都可以方便快捷地找到，其中要借助于相關(guān)的站點，所以做好導(dǎo)引是一項重要的工作。超文本這種結(jié)構(gòu)使全球所有聯(lián)上因特網(wǎng)的計算機成為超大規(guī)模的信息庫，鏈接到其它網(wǎng)站輕而易舉。

在設(shè)計網(wǎng)頁的導(dǎo)引組織時，應(yīng)該給出多個相關(guān)網(wǎng)站的鏈接，使得用戶感到想得到的信息就在鼠標(biāo)馬上就可以點擊的地方。

九、網(wǎng)站測試必不可少

為什么精心設(shè)計的網(wǎng)站是經(jīng)得起推敲的，就是因為它經(jīng)過認(rèn)真細(xì)致的測試。測試實際上就是模擬用戶訪問網(wǎng)站的過程，得以發(fā)現(xiàn)問題改進(jìn)設(shè)計。

由于一般網(wǎng)站設(shè)計都是一些專業(yè)人員設(shè)計的，他們對計算機和網(wǎng)絡(luò)有較深的理解，但要考慮到訪問網(wǎng)站的大部分人只是使用計算機和網(wǎng)絡(luò)，應(yīng)切實滿足他們的需要。所以有許多成功的經(jīng)驗表明，讓對計算機不是很熟悉的人來參加網(wǎng)站的測試工作效果非常好，這些人會提出許多專業(yè)人員沒有顧及到的問題或一些好的建議。

十、及時更新認(rèn)真回復(fù)

企業(yè)Web站點建立后，要不斷更新內(nèi)容，利用這個新媒體宣傳本企業(yè)的企業(yè)文化、企業(yè)理念、企業(yè)新產(chǎn)品。站點信息的不斷更新和新產(chǎn)品的不斷推出，讓瀏覽者感到企業(yè)的實力和發(fā)展，同時也會使企業(yè)更加有信心。

在企業(yè)的Web站點上，要認(rèn)真回復(fù)用戶的電子郵件和傳統(tǒng)的聯(lián)系方式如信件、電話垂詢和傳真，做到有問必答。最好將用戶進(jìn)行分類，如：售前一般了解、銷售、售后服務(wù)等，由相關(guān)部門處理，使網(wǎng)站訪問者感受到企業(yè)的真實存在，產(chǎn)生信任感。

注意不要許諾你實現(xiàn)不了的東西，在你真正有能力處理回復(fù)之前，不要懇求用戶輸入信息或羅列一大堆自己不能及時答復(fù)的電話號碼。

如果要求訪問者自愿提供其個人信息，應(yīng)公布并認(rèn)真履行一個個人隱私保護(hù)承諾，如不向第三方提供此信息等。

十一、合理地運用新技術(shù)

因特網(wǎng)是IT界發(fā)展最快的領(lǐng)域，其中新的網(wǎng)頁制作技術(shù)幾乎每天都會出現(xiàn)，如果不是介紹網(wǎng)絡(luò)技術(shù)的專業(yè)站點，一定要合理地運用網(wǎng)頁制作的新技術(shù)，切忌將網(wǎng)站變?yōu)橐粋€制作網(wǎng)頁的技術(shù)展臺，永遠(yuǎn)記住用戶方便快捷地得到所需要的信息是最重要的。

但對于網(wǎng)站設(shè)計者來說，必須學(xué)習(xí)跟蹤掌握網(wǎng)頁設(shè)計的新技術(shù)，如Java、DHTML、XML等，根據(jù)網(wǎng)站的內(nèi)容和形式的需要合理地應(yīng)用到設(shè)計中。

十二、推廣站點的方法 廣泛散布你的Web地址

網(wǎng)站已經(jīng)建好，下面的工作是歡迎大家訪問瀏覽。那么如何讓人們知道你的網(wǎng)址呢？

利用傳統(tǒng)的媒體(如印刷廣告公關(guān)文檔及促售宣傳等)，歡迎所有人參觀是一種十分有效的方法；

對待公司的網(wǎng)址象對待其商標(biāo)一樣，印制在商品的包裝和宣傳品上；

與其他網(wǎng)站交換鏈接或購買其他網(wǎng)站的圖標(biāo)廣告；

向因特網(wǎng)上的導(dǎo)航臺提交本站點的網(wǎng)址和關(guān)鍵詞，在頁面的原碼中，可使用META標(biāo)簽加入主題詞，以便于搜索引擎識別檢索，使你的站點易于被用戶查詢到。注意向訪問率較高的導(dǎo)航臺，如Yahoo、Excite、AltaVista、Infoseek、HotBot注冊；

通過在網(wǎng)站上設(shè)立有獎競賽的方式，讓瀏覽者填寫如年齡、行業(yè)、需求、光顧本站點的頻度等信息，從而得到訪問者的統(tǒng)計資料，這些可是一筆財富，以供調(diào)整網(wǎng)站設(shè)計和內(nèi)容更新時參考。

總之，在每天不斷增長的Web站點中，如何獨樹一幟、鶴立雞群是對網(wǎng)站設(shè)計者綜合能力的考驗和挑戰(zhàn)。

第五篇：基于JAVA WEB技術(shù)的旅行社網(wǎng)站系統(tǒng)設(shè)計(含源文件)

【網(wǎng)站源代碼】

旅游系統(tǒng)數(shù)據(jù)庫部分代碼：

Static conn = DriverManager.getConnection(“jdbc:odbc:sql:sqlserver://localhost:1433/travel?useUnicode=true&characterEncoding =gb2312”, “ ”, “ ”);String password=“";Connection conn= DriverManager.getConnection(url,user,password);Statement stmt=conn.createStatement();executeQuery()方法對數(shù)據(jù)庫進(jìn)行查詢操作。

sql=”SELECT count(*)c FROM `hotpoint` where `id`=0 and `hotelID`=“+hotel_Id;rs=stmt.executeQuery(sql);while(rs.next()){ count1 = rs.getInt(”c“);}

模塊中關(guān)鍵代碼（實現(xiàn)表單的驗證并提交到數(shù)據(jù)庫的代碼）： sql=”select ID from Users where UserName='“+username+”'“;ResultSet rs=statement.executeQuery(sql);if(rs.next()){ err+=”該用戶名己經(jīng)存在，請更換用戶名！“;valid=false;} else{ String id=”select max(ID)as xxx from Users“;ResultSet a=statement.executeQuery(id);next();sql=”insertintoUsers(UserName,Password,Email,Sex,Phone,Address,Age,PostNumber, Rank,Face)values('“+username+”','“+password1+”','“+email+”','“+sex+”', '“+phone+”','“+address+”','“+age+”', '“+postnumber+”','“+rank+”','“+face+”')“;

用 exe 傳遞所要執(zhí)行的操作： if(exe.equals(”write“)){ if(reid!=0){ rs.close();sql=”select ReplyNum from Articles where ID=“+reid;rs=statement.executeQuery(sql);rs.next();renum=rs.getInt(”ReplyNum“);renum++;//可以將上面的值進(jìn)行自增 rs.close();//注意 close 的位置

sql=”updateArticlessetReplyNum='“+renum+”'whereID=“+reid;statement.executeUpdate(sql);} //此用戶的 PostNumber 加一

sql=”selectPostNumberfromUserswhereUserName='“+username+”'“;rs=statement.executeQuery(sql);rs.next();int postnum=rs.getInt(”PostNumber“);System.out.println(postnum);postnum++;rs.close();

sql=”updateUserssetPostNumber='“+postnum+”'whereUserName='“+username+”'“;statement.executeUpdate(sql);//將文章信息存入數(shù)據(jù)庫 renum=0;//在 上 面 的 內(nèi) 容 中 可 以 得 到 authorid,title,content,bid,reid,posttime,emotion,renum sql=”insert into Articles(AuthorID,Title,Content,BoardID,ReplyID,Posttime,Emotion, ReplyNum)values('“+authorid+”','“+title+”','“+content+”','“+bid+”','“+ reid+”', '“+posttime+”','“+emotion+”','“+renum+”')“;} else if(exe.equals(”modify“)){ String id=request.getParameter(”id“);sql=”updateArticlessetPostTime='“+posttime+”',Content='“+content+”'whe re ID=“+id;}

網(wǎng)站頁面HTML代碼：

name=description>

content=XX旅游,XX旅游,旅游網(wǎng),旅行社,國內(nèi)旅游,出境旅游,旅游,周邊游,休閑,會議,度假,自由人,簽證,機票,出差,酒店,訂房,在線預(yù)定,特色旅游,專題旅游,夕陽紅旅游,紅色旅游

name=keywords>

onload=”MM_preloadImages('5555.jpg')“ marginheight=”0“ marginwidth=”0“>