1 、后台多用户名称和密码是否是明文储存的?
建议增加暱称栏位,区别后台的多用户,同时对多用户名称和密码进行非规范的 md5 加密,例如加密以后撷取 15 位字串。
2 、管理成员是否有许可权的划分
一旦没有划分许可权,一个编辑多用户的帐户失窃也可能为你带来灾难性的后果
3 、是否有管理日志功能
管理日志必须在近几日无法被删除,这是分析入侵者入侵手法的重要依据。
4 、后台入口是否隐秘
不要愚蠢地将入口暴露在前台页面中,也不要使用容易被猜测到的后台入口地址。
5 、后台页面是否使用了 metarobots 协议限制搜索引擎抓取
google 工具条,百度工具条,或者不经意间出现的后台链接都可能导致你的后台页面被搜索引擎发现,这时候在 meta 中写入禁止抓取的语句是个明智的选择,但是,切莫将后台地址写入 robots.txt,参照第四点。
6 、管理页面是否做了防注入
粗心的站群程序设计师往往只考虑了前台页面的注入。
7 、 access 是否有自定义资料库备份功能
这是 asp+access 系统中最臭名昭著的功能,自定义资料库备份可以让入侵者轻松获得 webshell