小说阅读网站,有声读物,完美世界txt下载

現(xiàn)在的網(wǎng)站大多數(shù)都是靜態(tài)生成的，一般來(lái)說(shuō)，只要我們做好網(wǎng)站后臺(tái)的安全，是不會(huì)出太大的問(wèn)題。因此容易后臺(tái)的安全問(wèn)題也不容忽視，網(wǎng)站后臺(tái)的安全問(wèn)題，得做好以下幾點(diǎn)

1、后臺(tái)用戶名和密碼是否是明文保存的?

建議增加昵稱(chēng)字段，區(qū)別后臺(tái)的用戶，同時(shí)對(duì)用戶名和密碼進(jìn)行非規(guī)范的md5加密，例如加密以后截取15位字串。

2、管理成員是否有權(quán)限的劃分

一旦沒(méi)有劃分權(quán)限，一個(gè)編輯用戶的帳戶失竊也可能為你帶來(lái)災(zāi)難性的后果

3、是否有管理日志功能

管理日志必須在近幾日無(wú)法被刪除，這是分析入侵者入侵手法的重要依據(jù)。

4、后臺(tái)入口是否隱秘

不要愚蠢地將入口暴露在前臺(tái)頁(yè)面中，也不要使用容易被猜測(cè)到的后臺(tái)入口地址。

5、后臺(tái)頁(yè)面是否使用了meta robots協(xié)議限制搜索引擎抓取

google工具條，百度工具條，或者不經(jīng)意間出現(xiàn)的后臺(tái)鏈接都可能導(dǎo)致你的后臺(tái)頁(yè)面被搜索引擎發(fā)現(xiàn)，這時(shí)候在meta中寫(xiě)入禁止抓取的語(yǔ)句是個(gè)明智的選擇，但是，切莫將后臺(tái)地址寫(xiě)入robots.txt，參照第四點(diǎn)。

6、管理頁(yè)面是否做了防注入

粗心的程序員往往只考慮了前臺(tái)頁(yè)面的注入。

7、access是否有自定義數(shù)據(jù)庫(kù)備份功能

這是asp+access系統(tǒng)中最臭名昭著的功能，自定義數(shù)據(jù)庫(kù)備份可以讓入侵者輕松獲得webshell

8、是否有自定義sql語(yǔ)句執(zhí)行功能

同第7點(diǎn)。

9、是否開(kāi)啟了在線修改模板功能

如果沒(méi)有必要，建議不要開(kāi)啟，防止對(duì)方輕易插入跨站腳本。

10、是否直接顯示用戶提交的數(shù)據(jù)

任何時(shí)候，用戶的輸入都是不可信的，設(shè)想如果對(duì)方輸入了一段惡意js，而你在后臺(tái)沒(méi)有任何防護(hù)的情況下就打開(kāi)?

11、編輯器的漏洞是否清除，是否已經(jīng)去除了無(wú)意義的功能。

最有名的例子就是ewebeditor的數(shù)據(jù)庫(kù)漏洞,默認(rèn)用戶名密碼漏洞等