这里总结了站点常见的一些问题,希望各个单位网站管理人员对照一下,消除一下这些安全隐患。
1.版式调整要适用于 IE8.0, opera9.0 ,firefox, chrome 这几种主流浏览器.
2.留言板不应该允许直接发布留言,应该先审核,审核后才能公开。
3.后台用户名和密码是否是明文保存的.建议同时对用户名和密码进行非规范的md5加密,例如加密以后截取15位字串。
4、管理成员是否有权限的划分。一旦没有划分权限,一个编辑用户的帐户失窃也可能为你带来灾难性的后果。最好只给发布消息的非专业管理员信息管理员的权限。
5、有没有管理日志功能。管理日志必须在近几日无法被删除,并且在后台要存有来访纪录,这是分析入侵者入侵手法的重要依据,也是目前网站制作后台必需的模块。
6、后台入口要隐秘。网站后台的入口安全是很重要的一个环节。入口页面一定要和前台页面没有任何逻辑关系,不要使用容易被猜测到的后台入口地址。
7、后台页面是否使用了meta robots协议限制搜索引擎抓取(这个页面编程中均有指导)
后台页面进入方式很多网站的入侵都是从搜索工具中获得相关页面信息。
8、管理页面是否做了防注入,前台和后台都要防止注入,一些网站只对前台做了,对后台忽略了。
9、数据库是否有自定义数据库备份功能
如果是ACESS请注意。asp+access系统中最大的弱点,自定义数据库备份可以让入侵者轻松获得webshell
10、是否开启了在线修改模板功能
如果没有必要,建议不要开启,防止对方轻易插入跨站脚本。
11、编辑器的漏洞是否清除,是否已经去除了无意义的功能。最有名的例子就是ewebeditor的数据库漏洞,默认用户名密码漏洞等
12、后台管理程序中只有主程序要求管理员的身份信息,而其它管理页面却忽视了身份验证信息,这种疏忽使非法用户可能通过直接输入后台的某个管理页面的形式进入到后台管理中去,如果正好有管理员密码修改的页面出现此问题,则会导致网站后台的完全暴露。
13、对页面参数不作任何判定导致所谓的SQLInjection,即SQL注入从而泄漏用户信息。这种安全漏洞是2004年以来网站信息安全的最大隐患,而国内许多网站建设网站并没有采取相应的安全措施,导致网站建设网站很容易被攻破。
14、弱口令问题。有些管理员为了记忆方便.会以Admin等作为管理员的用户名.作为管理员密码也很简单,数据库以sA为用户名,留空密码等,这些弱口令是很容易被黑客猜测到的。
15、明文密码问题。很多企业的管理员密码都采用明文来保存,这样的明文密码是最不安全的因素之一,通过SQL注入很容易就能猎取数据库中的明文密码。
另外把数据库安全问题单独列出来,供大家参考
(一)数据库位置和名称安全。以往许多网站设计人员会把数据库放在Data或Database等目录下.对数据库的文件名也通常采用Data、Mydata、Database等.这种做法很容易被非法用户猜解到并下载用户数据库.从而使网站建设网站的所有数据被窃取。解决方案:可以采用字母+数字并超过8位的组合作为数据文件目录或文件名,对于Access文件最好更改其扩展名.MDB为ASP以加强安全性。
(二)数据库结构安全问题(1)数据表的命名问题。为了安全需要,不要直接用类似Admin、User、Product等作为表名,可以使用XX—Admin—XX等形式,用字母和数宇组合作为表名的前后缀,以防止SQL注入时被猜解出表名。(2)数据宇段的命名问题。同样在数据字段命名时,也不要直接用Admin、UserName、用户名、密码Password、Pwd、UserPwd等作为敏感字段名,可以采用一些难以猜解的字母和数宇组合来作为字段名以加强数据的安全性。(3)数据库权限安全问题尽量不要把数据库密码留空或使用弱口令作为数据库密码,合理使用1O位以上的数据库密码会进一步加强数据库的安全。
(三)数据库连接字符串安全问题
这类安全问题主要是两个方面;一是在数据库连接字串中不直接出现明文密码,采用对称加密密码可以提高数据库的安全二是数据连接文件不要用常见的Conn、DbConn作为文件名,避免使用.inc.asa、txt作为扩展名,同时也不要把文件放在类似Inc、Data、Conn等目录下,以防数据库连接被非法下载。