大多数网站后台管理的几个常见的安全问题注意防范.

         网站后台，有时也称为网站管理后台，是指用于管理网站前台的一系列操作，如：产品.企业信息的增加.更新.删除等。通过网站管理后台，可以有效的管理网站供浏览者查阅的信息。网站的后台通常需要帐号及密码等信息的登陆验证，登陆信息正确则验证而后进入网站后台的管理界面进行相关的一系列操作。
     　实际上，前后台系统的实时性比预计的要差。这是因为前后台系统认为所有的任务具有相同的优先级别，即是平等的，而且任务的执行又是通过FIFO队列排队，因而对那些实时性要求高的任务不可能立刻得到处理。另外，由于前台程序是一个无限循环的结构，一旦在这个循环体中正在处理的任务崩溃，使得整个任务队列中的其他任务得不到机会被处理，从而造成整个系统的崩溃。由于这类系统结构简单，几乎不需要RAM/ROM的额外开销，因而在简单的嵌入式应用被广泛使用。现在的网站大多数都是静态生成的，一般来说，只要我们做好网站后台的安全，是不会出太大的问题。因此容易后台的安全问题也不容忽视，要做好网站后台的安全，得做好以下几点..

1.后台用户名和密码是否是明文保存的?建议增加昵称字段，区别后台的用户，同时对用户名和密码进行非规范的md5加密，例如加密以后截取15位字串。

2.管理成员是否有权限的划分一旦没有划分权限，一个编辑用户的帐户失窃也可能为你带来灾难性的后果

3.是否有管理日志功能管理日志必须在近几日无法被删除，这是分析入侵者入侵手法的重要依据。

4.后台入口是否隐秘不要愚蠢地将入口暴露在前台页面中，也不要使用容易被猜测到的后台入口地址。

5.后台页面是否使用了metarobots协议限制搜索引擎抓取google工具条，百度工具条，或者不经意间出现的后台链接都可能导致你的后台页面被搜索引擎发现，这时候在meta中写入禁止抓取的语句是个明智的选择，但是，切莫将后台地址写入robots.txt，参照第四点。
6.管理页面是否做了防注入粗心的程序员往往只考虑了前台页面的注入。

7.access是否有自定义数据库备份功能这是asp+access系统中最臭名昭著的功能，自定义数据库备份可以让入侵者轻松获得webshell.

8.是否有自定义sql语句执行功能同第7点。

9.是否开启了在线修改模板功能如果没有必要，建议不要开启，防止对方轻易插入跨站脚本。

10.是否直接显示用户提交的数据任何时候，用户的输入都是不可信的，设想如果对方输入了一段恶意js，而你在后台没有任何防护的情况下就打开?

11.编辑器的漏洞是否清除，是否已经去除了无意义的功能。最有名的例子就是ewebeditor的数据库漏洞,默认用户名密码漏洞等对于网站后台的安全问题，任何一个环节的疏忽都可能导致灾难性的后果，网站安全，任重道远，大家须时时注意。
[  丝竹悦耳个人博客 http://www.sizhuyueer.com   大多数网站后台管理的几个常见的安全问题注意防范.  ]