大多数网站后台管理的几个常见的安全问题注意

24小时关键词上百度首页点此查看详情
   今天有同学对主营万词霸屏和竞价包年的上海网络推广公司厉雷网络说他发现他的的网站管理后台被人破解了,把里面的东西都个删掉了,幸亏备份了,不然后果不堪设想,下面九个大家说说大多数网站后台管理的几个常见的安全问题注意防范
   网站后台,有时也称为网站管理后台,是指用于管理网站前台的一系列操作,如:产品.企业信息的增加.更新.删除等。通过网站管理后台,可以有效的管理网站供浏览者查阅的信息。网站的后台通常需要帐号及密码等信息的登陆验证,登陆信息正确则验证而后进入网站后台的管理界面进行相关的一系列操作。
   实际上,前后台系统的实时性比预计的要差。这是因为前后台系统认为所有的任务具有相同的优先级别,即是平等的,而且任务的执行又是通过FIFO队列排队,因而对那些实时性要求高的任务不可能立刻得到处理。另外,由于前台程序是一个无限循环的结构,一旦在这个循环体中正在处理的任务崩溃,使得整个任务队列中的其他任务得不到机会被处理,从而造成整个系统的崩溃。由于这类系统结构简单,几乎不需要RAM/ROM的额外开销,因而在简单的嵌入式应用被广泛使用。现在的网站大多数都是静态生成的,一般来说,只要我们做好网站后台的安全,是不会出太大的问题。因此容易后台的安全问题也不容忽视,要做好网站后台的安全,得做好以下几点..
1.后台用户名和密码是否是明文保存的?建议增加昵称字段,区别后台的用户,同时对用户名和密码进行非规范的md5加密,例如加密以后截取15位字串。
 
2.管理成员是否有权限的划分一旦没有划分权限,一个编辑用户的帐户失窃也可能为你带来灾难性的后果
 
3.是否有管理日志功能管理日志必须在近几日无法被删除,这是分析入侵者入侵手法的重要依据。
 
4.后台入口是否隐秘不要愚蠢地将入口暴露在前台页面中,也不要使用容易被猜测到的后台入口地址。
 
5.后台页面是否使用了metarobots协议限制搜索引擎抓取google工具条,百度工具条,或者不经意间出现的后台链接都可能导致你的后台页面被搜索引擎发现,这时候在meta中写入禁止抓取的语句是个明智的选择,但是,切莫将后台地址写入robots.txt,参照第四点。
6.管理页面是否做了防注入粗心的程序员往往只考虑了前台页面的注入。
 
7.access是否有自定义数据库备份功能这是asp+access系统中最臭名昭著的功能,自定义数据库备份可以让入侵者轻松获得webshell.
 
8.是否有自定义sql语句执行功能同第7点。
 
9.是否开启了在线修改模板功能如果没有必要,建议不要开启,防止对方轻易插入跨站脚本。
 
10.是否直接显示用户提交的数据任何时候,用户的输入都是不可信的,设想如果对方输入了一段恶意js,而你在后台没有任何防护的情况下就打开?
 
11.编辑器的漏洞是否清除,是否已经去除了无意义的功能。最有名的例子就是ewebeditor的数据库漏洞,默认用户名密码漏洞等对于网站后台的安全问题,任何一个环节的疏忽都可能导致灾难性的后果,网站安全,任重道远,大家须时时注意。

欢迎转载,本文标题:《大多数网站后台管理的几个常见的安全问题注意》,转载请注明原文网址:http://www.13076758023.cn/anquan/20190314/587.html
请尊重我们的辛苦付出,未经允许,请不要转载上海网络推广公司厉雷网络的文章!
上一篇:怎样预防黑客攻击网站服务器后台密码
下一篇:php关于网站安全的一些注意事项