日本免费全黄少妇一区二区三区-高清无码一区二区三区四区-欧美中文字幕日韩在线观看-国产福利诱惑在线网站-国产中文字幕一区在线-亚洲欧美精品日韩一区-久久国产精品国产精品国产-国产精久久久久久一区二区三区-欧美亚洲国产精品久久久久

  1. 首頁 > 云知道 > >

固若金湯 管理員怎樣加強網(wǎng)站后臺安全訪問

云知道

作為一名站長,如何才能保障網(wǎng)站后臺的安全,是一件非常重要的事情 。筆者將一些常見的問題整理出來,希望能站長能夠得到幫助 。
1、后臺用戶名和密碼是否是明文保存的?
建議增加昵稱字段,區(qū)別后臺的用戶,同時對用戶名和密碼進(jìn)行非規(guī)范的md5加密,例如加密以后截取15位字串 。
2、管理成員是否有權(quán)限的劃分
一旦沒有劃分權(quán)限,一個編輯用戶的帳戶失竊也可能為你帶來災(zāi)難性的后果
3、是否有管理日志功能
管理日志必須在近幾日無法被刪除,這是分析入侵者入侵手法的重要依據(jù) 。
4、后臺入口是否隱秘
不要愚蠢地將入口暴露在前臺頁面中,也不要使用容易被猜測到的后臺入口地址 。
5、后臺頁面是否使用了meta robots協(xié)議限制搜索引擎抓取
Google工具條,百度工具條,或者不經(jīng)意間出現(xiàn)的后臺鏈接都可能導(dǎo)致你的后臺頁面被搜索引擎發(fā)現(xiàn),這時候在meta中寫入禁止抓取的語句是個明智的選擇,但是,切莫將后臺地址寫入robots.txt,參照第四點 。
6、管理頁面是否做了防注入
粗心的程序員往往只考慮了前臺頁面的注入 。
7、access是否有自定義數(shù)據(jù)庫備份功能
這是asp access系統(tǒng)中最臭名昭著的功能,自定義數(shù)據(jù)庫備份可以讓入侵者輕松獲得webshell
8、是否有自定義sql語句執(zhí)行功能
同第7點 。
9、是否開啟了在線修改模板功能
如果沒有必要,建議不要開啟,防止對方輕易插入跨站腳本 。
10、是否直接顯示用戶提交的數(shù)據(jù)
任何時候,用戶的輸入都是不可信的,設(shè)想如果對方輸入了一段惡意js,而你在后臺沒有任何防護的情況下就打開?
11、編輯器的漏洞是否清除,是否已經(jīng)去除了無意義的功能
最有名的例子就是ewebeditor的數(shù)據(jù)庫漏洞,默認(rèn)用戶名密碼漏洞等
對于網(wǎng)站后臺的安全問題,任何一個環(huán)節(jié)的疏忽都可能導(dǎo)致災(zāi)難性的后果,大家須時時注意 。
【固若金湯 管理員怎樣加強網(wǎng)站后臺安全訪問】

    推薦閱讀