当前位置: 首页 > 图文教程 > 网站运营 > 建站经验 > 固若金汤 网站后台不容忽视的几个安全问题

建站经验
逐个分析大型网站的实例 掌握构建大型网站的架构
阿里巴巴成鸡肋:购物上淘宝、批发上1688
使用在线wap模拟器或软件在个人电脑上访问wap网站
经验分享:网络广告假流量问题的鉴别方法
如何选择和设计适合自己的评论网站类型
国内的网站页面设计风格应该热热闹闹
网络排查清理风 企业网站不备案被关闭
Mozilla一款产品UI设计全盘照抄Web设计公司的网站设计
淘宝网推出消费者门户
经验分享:企业网站建设的几点注意事项
美国B2C平台的成功创意和中国电商市场的比较
日本雅虎的时尚频道的电子杂志购物的魅力
网站备案实际经历:历时2个月两次被拒绝
个人网站实名制:站长们是否已经准备好
ICANN:域名注册信息不实将赞归注册商所有
减少未压缩的数据 让网络速度更快
CM域名不能解析不能修改DNS 疑顶级注册局倒闭
企业建站的基础性常识和资源
Yahoo上$1.99注册.com域名的图文教程
核验备案资料是否真实有效 部分网站备案号被注销

建站经验 中的 固若金汤 网站后台不容忽视的几个安全问题


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-17   浏览: 49 ::
收藏到网摘: n/a

1、后台用户名和密码是否是明文保存的?

建议增加昵称字段,区别后台的用户,同时对用户名和密码进行非规范的md5加密,例如加密以后截取15位字串。

2、管理成员是否有权限的划分

一旦没有划分权限,一个编辑用户的帐户失窃也可能为你带来灾难性的后果

3、是否有管理日志功能

管理日志必须在近几日无法被删除,这是分析入侵者入侵手法的重要依据。

4、后台入口是否隐秘

不要愚蠢地将入口暴露在前台页面中,也不要使用容易被猜测到的后台入口地址。

5、后台页面是否使用了meta robots协议限制搜索引擎抓取

google工具条,百度工具条,或者不经意间出现的后台链接都可能导致你的后台页面被搜索引擎发现,这时候在meta中写入禁止抓取的语句是个明智的选择,但是,切莫将后台地址写入robots.txt,参照第四点。

6、管理页面是否做了防注入

粗心的程序员往往只考虑了前台页面的注入。

7、access是否有自定义数据库备份功能

这是asp+access系统中最臭名昭著的功能,自定义数据库备份可以让入侵者轻松获得webshell

8、是否有自定义sql语句执行功能

同第7点。

9、是否开启了在线修改模板功能

如果没有必要,建议不要开启,防止对方轻易插入跨站脚本。

10、是否直接显示用户提交的数据

任何时候,用户的输入都是不可信的,设想如果对方输入了一段恶意js,而你在后台没有任何防护的情况下就打开?

11、编辑器的漏洞是否清除,是否已经去除了无意义的功能

最有名的例子就是ewebeditor的数据库漏洞,默认用户名密码漏洞等

对于网站后台的安全问题,任何一个环节的疏忽都可能导致灾难性的后果,大家须时时注意。

(作者:偶是菜鸟 来源:www.920574.cn )