1、后臺(tái)用戶(hù)名和密碼是否是明文保存的？

建議增加昵稱(chēng)字段，區(qū)別后臺(tái)的用戶(hù)，同時(shí)對(duì)用戶(hù)名和密碼進(jìn)行非規(guī)范的md5加密，例如加密以后截取15位字串。

2、管理成員是否有權(quán)限的劃分

一旦沒(méi)有劃分權(quán)限，一個(gè)編輯用戶(hù)的帳戶(hù)失竊也可能為你帶來(lái)災(zāi)難性的后果

3、是否有管理日志功能

管理日志必須在近幾日無(wú)法被刪除，這是分析入侵者入侵手法的重要依據(jù)。

4、后臺(tái)入口是否隱秘

不要愚蠢地將入口暴露在前臺(tái)頁(yè)面中，也不要使用容易被猜測(cè)到的后臺(tái)入口地址。

5、后臺(tái)頁(yè)面是否使用了metarobots協(xié)議限制搜索引擎抓取

google工具條，百度工具條，或者不經(jīng)意間出現(xiàn)的后臺(tái)鏈接都可能導(dǎo)致你的后臺(tái)頁(yè)面被搜索引擎發(fā)現(xiàn)，這時(shí)候在meta中寫(xiě)入禁止抓取的語(yǔ)句是個(gè)明智的選擇，但是，切莫將后臺(tái)地址寫(xiě)入robots.txt，參照第四點(diǎn)。

6、管理頁(yè)面是否做了防注入

粗心的程序員往往只考慮了前臺(tái)頁(yè)面的注入。

7、access是否有自定義數(shù)據(jù)庫(kù)備份功能

這是asp+access系統(tǒng)中最臭名昭著的功能，自定義數(shù)據(jù)庫(kù)備份可以讓入侵者輕松獲得webshell

• 上一篇：關(guān)于網(wǎng)站建設(shè)的一些小技巧
• 下一篇：怎樣把網(wǎng)站做得更好