现在的网站大多数都是静态生成的,一般来说,只要我们做好网站后台的安全,是不会出太大的问题。因此容易后台的安全问题也不容忽视,要做好网站后台的安全,得做好以下几点9 b& d/ b9 |0 W
1、后台用户名和密码是否是明文保存的?' ~; s! T4 M) ]! o: Y4 z
( f _: r/ [0 D; N6 W- {* t# X
建议增加昵称字段,区别后台的用户,同时对用户名和密码进行非规范的md5加密,例如加密以后截取15位字串。: J; {! T4 o3 o7 K5 V* {: }5 N
; A$ U/ S3 J) I# G- L: m$ i0 s 2、管理成员是否有权限的划分( _7 u% s- G$ w
0 O; P! l5 s# L& r
一旦没有划分权限,一个编辑用户的帐户失窃也可能为你带来灾难性的后果1 u$ A+ r, a. \- N
' b+ F* T' ~" J, \* [# B 3、是否有管理日志功能
, L7 S y G( B& r/ q- M2 N: }6 D, y
管理日志必须在近几日无法被删除,这是分析入侵者入侵手法的重要依据。" @& a% ~. |5 b3 }0 g
1 o4 X2 f: P3 |$ u1 @
4、后台入口是否隐秘3 s% O8 [0 r9 Z$ s8 p9 i7 h
- l- R5 t- n1 S# G3 O5 A7 p4 ^
不要愚蠢地将入口暴露在前台页面中,也不要使用容易被猜测到的后台入口地址。 Z+ s0 K1 B2 F2 e4 Q
5 h6 ~/ ^1 I! j' @" @8 _& K
5、后台页面是否使用了meta robots协议限制搜索引擎抓取
/ A' r' L$ }! R% @3 W' g
) X# n* I3 j# g( P google工具条,百度工具条,或者不经意间出现的后台链接都可能导致你的后台页面被搜索引擎发现,这时候在meta中写入禁止抓取的语句是个明智的选择,但是,切莫将后台地址写入robots.txt,参照第四点。
& K) L3 S6 i" R1 C1 K6 b$ N! [2 D; J2 C: p5 a
6、管理页面是否做了防注入2 b% D+ v9 q6 D! C$ E
, U$ y/ {, V6 N; e5 E# h 粗心的程序员往往只考虑了前台页面的注入。
0 y4 o5 R; g% M- M) a& \5 [' x' M; b( m* P4 p" h# [( e6 u! }
7、access是否有自定义数据库备份功能% ^# x& y8 `/ ~
" L$ z8 N2 _/ u4 _* S1 W- K( O) X 这是asp+access系统中最臭名昭著的功能,自定义数据库备份可以让入侵者轻松获得webshell
3 S' I6 |. i1 f! L& \
* w1 O+ L I& U! m 8、是否有自定义sql语句执行功能6 G) F8 a, n: G$ L- Z4 U
4 E% I- D4 {$ h 同第7点。6 w5 i% r) L9 R1 d* O! u1 S
7 t `& k- A v& V8 l" o3 l& ` 9、是否开启了在线修改模板功能
0 ~/ H4 H( N/ k& x( l" K$ e6 m/ J4 P
如果没有必要,建议不要开启,防止对方轻易插入跨站脚本。# E% a/ m/ y. ?# l: ~/ ?' s, z6 i
$ G& U" ~9 G: ]1 K3 O
10、是否直接显示用户提交的数据
# \- R3 [1 Z* L! r8 H% z7 e* G+ A$ L$ I& M
任何时候,用户的输入都是不可信的,设想如果对方输入了一段恶意js,而你在后台没有任何防护的情况下就打开? F7 x! d' d; V
# y3 i6 v5 ~! m5 T) X6 z
11、编辑器的漏洞是否清除,是否已经去除了无意义的功能。/ ?$ `' \7 ]) d- M
8 h$ I1 E n" q5 Z# A' _& h 最有名的例子就是ewebeditor的数据库漏洞,默认用户名密码漏洞等4 f5 c* v7 `. t' g5 S
3 t/ v4 J2 u. l) S9 M+ [) |, l 对于网站后台的安全问题,任何一个环节的疏忽都可能导致灾难性的后果,网站安全,任重道远,大家须时时注意。
! ?8 z1 ~* ^' s4 f5 g
5 Q r" P* ~: G% x5 J 本文由(源码营 http://www.yuanmaying.com/)发布$ l, E; w1 x! u4 C
0 L E$ C4 i' K# g/ y+ ]( |7 N
|
