固若金汤 网站后台不容忽视的几个安全问题
作者:偶是菜鸟 来源:CHINAZ 发布时间:2009-01-30 02:25:00
1、后台用户名和密码是否是明文保存的?
建议增加昵称字段,区别后台的用户,同时对用户名和密码进行非规范的md5加密,例如加密以后截取15位字串。
2、管理成员是否有权限的划分
一旦没有划分权限,一个编辑用户的帐户失窃也可能为你带来灾难性的后果
3、是否有管理日志功能
管理日志必须在近几日无法被删除,这是分析入侵者入侵手法的重要依据。
4、后台入口是否隐秘
不要愚蠢地将入口暴露在前台页面中,也不要使用容易被猜测到的后台入口地址。
5、后台页面是否使用了meta robots协议限制搜索引擎抓取
google工具条,百度工具条,或者不经意间出现的后台链接都可能导致你的后台页面被搜索引擎发现,这时候在meta中写入禁止抓取的语句是个明智的选择,但是,切莫将后台地址写入robots.txt,参照第四点。
6、管理页面是否做了防注入
粗心的程序员往往只考虑了前台页面的注入。
7、access是否有自定义数据库备份功能
这是asp+access系统中最臭名昭著的功能,自定义数据库备份可以让入侵者轻松获得webshell
8、是否有自定义sql语句执行功能
同第7点。
9、是否开启了在线修改模板功能
如果没有必要,建议不要开启,防止对方轻易插入跨站脚本。
10、是否直接显示用户提交的数据
任何时候,用户的输入都是不可信的,设想如果对方输入了一段恶意js,而你在后台没有任何防护的情况下就打开?
11、编辑器的漏洞是否清除,是否已经去除了无意义的功能
最有名的例子就是ewebeditor的数据库漏洞,默认用户名密码漏洞等
对于网站后台的安全问题,任何一个环节的疏忽都可能导致灾难性的后果,大家须时时注意。
(作者:偶是菜鸟 来源:www.920574.cn )
猜你喜欢
- 信息服务器IIS是BACKOFFICE系列产品 * 能最强大、最流行的应用程序,它与整个BACKOFFICE组件一样,IIS也是围绕WINDO
- 访问Web服务器是许多局域网用户经常要做的一项“功课”,在频繁访问过程中,不少朋友积累了一些Web服务器访问经验,这些经验常常会帮助他们快速
- 第 1 步:选择推介区域 选择特定广告前,您需要指定国家/地区和语言首选项。为了最大限度地增加转换机会,请选择能充分反映用户情况的组合。有些
- 虽然自己做站长没有几年,但是经历了从03年到08的,也有了别人没有的经验和体会,其中很重要的一点就是明白了在中国做站长最重要的一点是什么?就
- 打开dede/inc/inc_batchup.php找到"//删除数据库的内容"前面加//删除缩略图 if($arcRo
- 【导读】 在Linux上安装一个虚拟根环境化的Apache目录树是相当的简单的。这个例子使用的是Red Hat 6.*和Apache 1.3
- 商场如战场。不过在互联网的商战中真正的刀枪箭戟不多,取而代之的是口水。似乎不打打口水仗就显得不热闹。前有瑞星和奇虎,后有搜狐和迅雷等等,反正
- 对于服务器租用者来说,要想在硬件环境、网络环境等来改善自身网站性能,受客观因素的影响可能会有比较大的难度。因此,只能退而求其次,在程序上狠下
- “黑客”盗QQ用户号码及视频冒名行骗,民警提醒慎加陌生人为好友家住杨家坪的徐丽(化名)在网上跟弟弟视
- 7月23日晚间消息,阿里巴巴集团董事局主席马云刚刚发布内部邮件,号召阿里巴巴全体准备“过冬”,以下为该邮件全文.各位阿里人:对阿里巴巴B2B
- 风雨变幻的2009年,风波不断的中国互联网世界,为了不在担心自己网站,为了早日脱离苦海,就买了款国外的主机,在众多的主机中,之所以选择ixw
- 前几天接到一个装潢公司的网络推广客户,所以就去百度搜索“装潢公司”、“合肥装潢公
- 《商业大亨》以刺激真实的商场竞争、完备的市场体系、拟真的开店攻略、完善的员工系统、刺激的股市系统、有效的媒体系统、激战的赢在大亨系统……,让
- 链接这里有一个怎么选择的问题。首面选择链接要选择(pr值)权重高的网站做你的反向链接。尤其是刚建立的小站。如果有一个pr值高的站带着你。你几
- 核心功能和服务IIS 6.0 引入了两种用于配置应用程序环境的操作模式:工作进程隔离模式和 IIS 5.0 隔离模式。在安装 IIS 6.0
- 在/etc/ftpaccess里面加上: throughput /home/ftp * * 64000 0.5 *意思是下载带宽对所有IP(
- 电信和网通两大基础网络,人为地割裂了整个中国的网络。无论是选择把网站托管在电信、还是网通,都等于是在拒绝处于另外一个网络中的客户,因为实在太
- 如何放置Robots.txt文件robots.txt自身是一个文本文件。它必须位于域名的根目录中并 被命名为“robot
- 从使用虚拟空间到使用独立服务器,这对一个站长来说是一件惊天动地的大事,对于一个没有拿自己电脑做过服务器的站长来说,第一次拿到属于自己的服务器
- 404页在网站的作用是当浏览者访问网页为空时,网站会自动转向404页,意义就是告诉访客,此页找不到.404页的原因可能是因为网页不存在或者更