如何保护网站后台的安全呢

苏生不惑 发布于 2013/05/30 15:10
阅读 465
收藏 1
问个问题,大家的网站后台是怎么保护的?一般是不能直接访问到的吧,是如何处理的呢?不过牛人总是能找到的,前段时间58同城就中枪了, 我们网站是php开发的,关于后台该怎么保护呢?欢迎分享,谢谢
加载中
0
红薯
红薯
用户名密码认证啊,有时候需要在外网进行管理的
红薯
红薯
@苏翰 如果不太复杂就是你说的办法,否则自己做一个登陆验证
苏生不惑
苏生不惑
红薯大哥回复真及时,谢谢啦,通过httppasswd进行401登陆吗?外网管理这块不熟悉,不知道具体是管理哪些,防火墙吗
0
墨仝mt
墨仝mt
限制后台内网登录
苏生不惑
苏生不惑
回复 @獨家微笑 : 谢谢
墨仝mt
墨仝mt
@苏翰 我的建议是说两个方面都判断
苏生不惑
苏生不惑
回复 @獨家微笑 : 程序里怎么判断是伪造ip呢
墨仝mt
墨仝mt
@苏翰 程序里面也可以做限制的
苏生不惑
苏生不惑
通过apache的deny allow 来限制ip登陆吗
0
用户已屏蔽
用户已屏蔽
自己搞个U盾验证,哈哈
0
Beyond-Bit
Beyond-Bit

58同城就中枪了 ?你是不是说那个搓比大学生?我差点崩盘!扣扣声声说自己攻击了58,我当时一精啊!最后才知道他得到了登陆页面!听到这里我看不下去了,简直是侮辱我朝骇客的能力啊!

ps:security 

1》复杂点的采用双重认证!

2》密码采用MD5加盐值加密方式!(8位以上密码,目前此类加盐还尚未有破解成功)。

3》防止请求频繁!禁止一定时间内频繁请求!(osc采用了这个)。

这里只是后台页面的安全!最后系统服务器级别必须安全!否则以上这些等于白搭!




苏生不惑
苏生不惑
后来好像也被姚劲波收编了吧,天朝的黑客貌似都很低调。 双重认证指的是认证哪2个?MD5加盐这个得加上去
0
王瑞平
王瑞平

部署在内网

Beyond-Bit
Beyond-Bit
回复 @苏翰 : 要访问内网你只能通过vpn上去!当然你要给你自己一个vpn账号!
苏生不惑
苏生不惑
服务器放在内网吗?内网的ip能直接访问吗?(对linux不太熟悉)
0
Beyond-Bit
Beyond-Bit

引用来自“Beyond-Bit”的答案

58同城就中枪了 ?你是不是说那个搓比大学生?我差点崩盘!扣扣声声说自己攻击了58,我当时一精啊!最后才知道他得到了登陆页面!听到这里我看不下去了,简直是侮辱我朝骇客的能力啊!

ps:security 

1》复杂点的采用双重认证!

2》密码采用MD5加盐值加密方式!(8位以上密码,目前此类加盐还尚未有破解成功)。

3》防止请求频繁!禁止一定时间内频繁请求!(osc采用了这个)。

这里只是后台页面的安全!最后系统服务器级别必须安全!否则以上这些等于白搭!




姚劲波?我只能说那些boss真的不懂,他们也就是看看这个小伙子人品!不过小伙子惹怒了骇客!一副嚣张的样子说:"我是黑客,黑掉了58”,我当时真想扇一巴掌!直接换台了!不知天高地厚家伙!

真正的安全是非常烧钱滴!一般公司玩不起的!比如我朝很不重视!

最后送你软件没有绝对的安全!只有高级防护!内网渗透都是可以的!不过要对你的网络开放端口该关的关!系统最好不要用xp以下的!最好linux!

双重认证有的人自己在webapp里面加了策略,过滤认证比较复杂!还有一点认证就是双系统认证这个比较简单,就是你登陆的时候必须到另外一个系统去对你的登陆用户授权!

Beyond-Bit
Beyond-Bit
回复 @苏翰 : 道高一尺,魔高一丈啊!初级安全必须过关!至于剩下的那就是后期维护!所谓维护不仅仅是维护系统数据!不定期的修改安全策略.比如:修改加密方式!修改认证方式!腾讯一直再做不定期的修改,比如扣扣空间相册加密,空间加密!最近一次修改好像是2012年!
苏生不惑
苏生不惑
回复 @Beyond-Bit : 那你说怎么办呢
Beyond-Bit
Beyond-Bit
回复 @苏翰 : 到现在还有人再玩腾讯的协议!研究腾讯协议!所以一直到现在扣扣号被盗!
Beyond-Bit
Beyond-Bit
回复 @苏翰 : 服务器用的是linux?也不能保证你的安全!因为攻击者可以攻击你的路由器,交换机!这样等于半路杀出个程咬金,截取你的数据报!解析不就堂而皇之的登陆你的网站?不过现在大多都是对数据抱加密的!加密也不能代表完全安全!有一天也会被人解密!
Beyond-Bit
Beyond-Bit
回复 @苏翰 : 有两手?其实你也可以写!只要你够字典!自己可以写个批量扫描后台!多线程,request!
下一页
0
廖君
廖君
所有的权限管理,验证,过滤全部都在服务器端做,客户端所有的都是可以伪造的
苏生不惑
苏生不惑
嗯,有道理,客户端验证是为了用户体验
返回顶部
顶部