網站管理後臺幾個安全問題不容忽視

網站後臺，有時也稱為HTTP://www.aliyun.com/zixun/aggregation/8984.html">網站管理後臺，是指用於管理網站前臺的一系列操作，如：產品、公司資訊的增加、更新、刪除等。 通過網站管理後臺，可以有效的管理網站供流覽者查閱的資訊。 網站的後臺通常需要帳號及密碼等資訊的登陸驗證，登陸資訊正確則驗證而後進入網站後臺的管理介面進行相關的一系列操作。

實際上，前後台系統的即時性比預計的要差。 這是因為前後台系統認為所有的任務具有相同的優先順序別，即是平等的，而且任務的執行又是通過FIFO佇列排隊，因而對那些即時性要求高的任務不可能立刻得到處理。 另外，由於前景程式是一個無限迴圈的結構，一旦在這個循環體中正在處理的任務崩潰，使得整個任務佇列中的其他任務得不到機會被處理，從而造成整個系統的崩潰。 由於這類系統結構簡單，幾乎不需要RAM/ROM的額外開銷，因而在簡單的嵌入式應用被廣泛使用。

現在的網站大多數都是靜態生成的，一般來說，只要我們做好網站後臺的安全，是不會出太大的問題。 因此容易後臺的安全問題也不容忽視，要做好網站後臺的安全，得做好以下幾點

1、後臺使用者名和密碼是否是明文保存的?

建議增加昵稱欄位，區別後臺的使用者，同時對使用者名和密碼進行非規範的md5加密，例如加密以後截取15位字串。

2、管理成員是否有許可權的劃分

一旦沒有劃分許可權，一個編輯使用者的帳戶失竊也可能為你帶來災難性的後果

3、是否有管理日誌功能

管理日誌必須在近幾日無法被刪除，這是分析入侵者入侵手法的重要依據。

4、後臺入口是否隱秘

不要愚蠢地將入口暴露在前臺頁面中，也不要使用容易被猜測到的後臺入口位址。

5、後臺頁面是否使用了meta robots協定限制搜尋引擎抓取

google工具條，百度工具條，或者不經意間出現的後臺連結都可能導致你的後臺頁面被搜尋引擎發現，這時候在meta中寫入禁止抓取的語句是個明智的選擇，但是，切莫將後臺位址寫入robots.txt，參照第四點。

6、管理頁面是否做了防注入

粗心的程式師往往只考慮了前臺頁面的注入。

7、access是否有自訂資料庫備份功能

這是asp+access系統中最臭名昭著的功能，自訂資料庫備份可以讓入侵者輕鬆獲得webshell

8、是否有自訂sql語句執行功能

同第7點。

9、是否開啟了線上修改範本功能

如果沒有必要，建議不要開啟，防止對方輕易插入跨站腳本。

10、是否直接顯示使用者提交的資料

任何時候，使用者的輸入都是不可信的，設想如果對方輸入了一段惡意js，而你在後臺沒有任何防護的情況下就打開?

11、編輯器的漏洞是否清除，是否已經去除了無意義的功能。

最有名的例子就是ewebeditor的資料庫漏洞,預設使用者名密碼漏洞等

對於網站後臺的安全問題，任何一個環節的疏忽都可能導致災難性的後果，網站安全，任重道遠，大家須時時注意。

文章來自 HTTP://www.920574.cn 轉載請保留