1 、後台多用户名稱和密碼是否是明文儲存的?
建議增加暱稱欄位,區別後台的多用户,同時對多用户名稱和密碼進行非規範的 md5 加密,例如加密以後擷取 15 位字串。
2 、管理成員是否有許可權的劃分
一旦沒有劃分許可權,一個編輯多用户的帳户失竊也可能為你帶來災難性的後果
3 、是否有管理日誌功能
管理日誌必須在近幾日無法被刪除,這是分析入侵者入侵手法的重要依據。
4 、後台入口是否隱秘
不要愚蠢地將入口暴露在前台頁面中,也不要使用容易被猜測到的後台入口地址。
5 、後台頁面是否使用了 metarobots 協議限制搜索引擎抓取
google 工具條,百度工具條,或者不經意間出現的後台鏈接都可能導致你的後台頁面被搜索引擎發現,這時候在 meta 中寫入禁止抓取的語句是個明智的選擇,但是,切莫將後台地址寫入 robots.txt,參照第四點。
6 、管理頁面是否做了防注入
粗心的站羣程序設計師往往只考慮了前台頁面的注入。
7 、 access 是否有自定義資料庫備份功能
這是 asp+access 系統中最臭名昭著的功能,自定義資料庫備份可以讓入侵者輕鬆獲得 webshell