五个常见的问题:
1、后台网址避免使用常见名称,防止被轻易猜到
2、管理员账号避免使用默认账号如admin、administrator、root、sa等,管理员密码避免使用弱口令如admin、123456、qwerty等
备注:可以采取filter过滤器等方式来避免可以直接跳转。(Filter过滤器只关心地址是否匹配,不关心资源是否存在)
3、构造符合语法规则的永真sql绕过登陆验证,利用单引号’闭合确保语法正确,然后构造1=1等永真判断(sql注入问题)
例如:‘or 1=1 or’ 可以跳过用户名和密码验证,直接进入后台
备注:加入对永真语句的判断,防止使用此种方式登录。
4、用户可以提交信息的地方往往存在风险
可以利用工具在可以上传文件的地方上传木马,从而对主机的目录进行操作:
5、所有问题的根源在于软件开发过程中没有进行充分的特殊字符过滤