当前位置: 首页 > 图文教程 > 网站运营 > 建站经验 > 固若金汤 网站后台不容忽视的几个安全问题

建站经验
评价网站推广的效果的方法
中国流量巨大的10种类型的商业网站
轻松快速打造PR5的网站
新手需要了解的网站建设的过程和步骤
推广个人博客最好办法 免费书签收藏代码
能坚持下来的站长让痛苦来的更猛烈些吧
博客首页该如何布局才能吸引与留住人
用户需求网站目标涉及行业盈利模式决定你做什么
建站流程应该是边修改边上线 推荐
建站经验谈 豆瓣网怎么推广的
GOOGLE在中国市场落后的5点原因分析
地方分类信息网站的有效推广方法小结
跟Alexa类似的网站流量跟踪的5个国外网站
网站建设与SEO的流程图
关于解决网站内容复制几点建议 强烈推荐
开心网转帖功能 网站推广经验
Site 网站首页不在第一页的原因及解决方法
解决首页不在第一页的问题的方法参考
网站推广 如何招兼职网络推广员
网站用户体验与公交车的用户体验

建站经验 中的 固若金汤 网站后台不容忽视的几个安全问题


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-17   浏览: 106 ::
收藏到网摘: n/a

1、后台用户名和密码是否是明文保存的?

建议增加昵称字段,区别后台的用户,同时对用户名和密码进行非规范的md5加密,例如加密以后截取15位字串。

2、管理成员是否有权限的划分

一旦没有划分权限,一个编辑用户的帐户失窃也可能为你带来灾难性的后果

3、是否有管理日志功能

管理日志必须在近几日无法被删除,这是分析入侵者入侵手法的重要依据。

4、后台入口是否隐秘

不要愚蠢地将入口暴露在前台页面中,也不要使用容易被猜测到的后台入口地址。

5、后台页面是否使用了meta robots协议限制搜索引擎抓取

google工具条,百度工具条,或者不经意间出现的后台链接都可能导致你的后台页面被搜索引擎发现,这时候在meta中写入禁止抓取的语句是个明智的选择,但是,切莫将后台地址写入robots.txt,参照第四点。

6、管理页面是否做了防注入

粗心的程序员往往只考虑了前台页面的注入。

7、access是否有自定义数据库备份功能

这是asp+access系统中最臭名昭著的功能,自定义数据库备份可以让入侵者轻松获得webshell

8、是否有自定义sql语句执行功能

同第7点。

9、是否开启了在线修改模板功能

如果没有必要,建议不要开启,防止对方轻易插入跨站脚本。

10、是否直接显示用户提交的数据

任何时候,用户的输入都是不可信的,设想如果对方输入了一段恶意js,而你在后台没有任何防护的情况下就打开?

11、编辑器的漏洞是否清除,是否已经去除了无意义的功能

最有名的例子就是ewebeditor的数据库漏洞,默认用户名密码漏洞等

对于网站后台的安全问题,任何一个环节的疏忽都可能导致灾难性的后果,大家须时时注意。

(作者:偶是菜鸟 来源:www.920574.cn )