教你如何保障网站的安全
时间:2010-09-06 来源:wangzhongqi
旗锦科技教你如何保障网站的安全
1、后台用户名和密码是否是明文保留的?
建议增加昵称字段,区别后台的用户,同时对用户名和密码进行非规范的md5加密,例如加密以后截取15位字串。
2、治理成员是否有权限的划分
一旦没有划分权限,一个编纂用户的帐户失贼也可能为你带来灾害性的后果
3、是否有治理日志功能
治理日志必需在近几日无法被删除,这是分析入侵者入侵手法的重要依据。
4、后台进口是否隐秘
不要愚蠢地将进口暴露在前台页面中,也不要使用轻易被预测到的后台进口地址。
5、后台页面是否使用了metarobots协议限制搜索引擎抓取
google工具条,百度工具条,或者不经意间泛起的后台链接都可能导致你的后台页面被搜索引擎发现,这时候在meta中写入禁止抓取的语句是个明智的选择,但是,切莫将后台地址写入robots。txt,参照第四点。
6、治理页面是否做了防注入
粗心的程序员往往只考虑了前台页面的注入。
7、access是否有自定义数据库备份功能
这是asp+access系统中最臭名昭著的功能,自定义数据库备份可以让入侵者轻松获得webshell
8、是否有自定义sql语句执行功能
同第7点。
9、是否开启了在线修改模板功能
假如没有必要,建议不要开启,防止对方等闲插入跨站脚本。
10、是否直接显示用户提交的数据
任何时候,用户的输入都是不可托的,设想假如对方输入了一段恶意js,而你在后台没有任何防护的情况下就打开?
11、编纂器的漏洞是否清除,是否已经去除了无意义的功能。
最有名的例子就是ewebeditor的数据库漏洞,默认用户名密码漏洞等
对于网站后台的安全题目,任何一个环节的疏忽都可能导致灾害性的后果,网站安全,任重道远,大家须时时留意。
1、后台用户名和密码是否是明文保留的?
建议增加昵称字段,区别后台的用户,同时对用户名和密码进行非规范的md5加密,例如加密以后截取15位字串。
2、治理成员是否有权限的划分
一旦没有划分权限,一个编纂用户的帐户失贼也可能为你带来灾害性的后果
3、是否有治理日志功能
治理日志必需在近几日无法被删除,这是分析入侵者入侵手法的重要依据。
4、后台进口是否隐秘
不要愚蠢地将进口暴露在前台页面中,也不要使用轻易被预测到的后台进口地址。
5、后台页面是否使用了metarobots协议限制搜索引擎抓取
google工具条,百度工具条,或者不经意间泛起的后台链接都可能导致你的后台页面被搜索引擎发现,这时候在meta中写入禁止抓取的语句是个明智的选择,但是,切莫将后台地址写入robots。txt,参照第四点。
6、治理页面是否做了防注入
粗心的程序员往往只考虑了前台页面的注入。
7、access是否有自定义数据库备份功能
这是asp+access系统中最臭名昭著的功能,自定义数据库备份可以让入侵者轻松获得webshell
8、是否有自定义sql语句执行功能
同第7点。
9、是否开启了在线修改模板功能
假如没有必要,建议不要开启,防止对方等闲插入跨站脚本。
10、是否直接显示用户提交的数据
任何时候,用户的输入都是不可托的,设想假如对方输入了一段恶意js,而你在后台没有任何防护的情况下就打开?
11、编纂器的漏洞是否清除,是否已经去除了无意义的功能。
最有名的例子就是ewebeditor的数据库漏洞,默认用户名密码漏洞等
对于网站后台的安全题目,任何一个环节的疏忽都可能导致灾害性的后果,网站安全,任重道远,大家须时时留意。
相关阅读 更多 +
