动态>

Hi,网站安全管理者们,你们的后台还好吗?

Hi,网站安全管理者们,你们每天在为攻击殚精竭虑的时候,有没有想过其实搜索引擎早已泄漏了你最大的天机——管理后台?无论上了多么牛的安全设备,多么严格的规则,只要直接把后台暴露在互联网上,就好比把心掏出来放在恶魔手里,不知道您是自信、大意,还是故意给攻击者留下的彩蛋呢?

搜索引擎已经强大到何种地步?毫不夸张地说,那是后台随便找,尤其是政府、教育类网站,只要关键词一键搜索,巴拉巴拉一大推,其中不乏省级政府单位和211、985高校。本来黑客没有攻击目标,但无奈搜索出卖了你。

哇咔咔,还需要多么高深的技术吗?有了后台,就可以直接爆破啊,努力拿到管理员账号就行了。

您可能会说我有封IP,防止暴力破解;我还有验证码……但实际上,很多平台没有锁IP,也没有验证码,即使有,现在的撞库攻击、云打码平台、IP代理也早已突破了这些限制。更何况,网络上的打码平台、IP代理比比皆是。

不得不说,搜索引擎对于攻击者来说真是一个好东西,尤其是菜鸟攻击者~

暴露单个站点的后台还不算什么,更恐怖的是目前很多政府和高校采用站群管理软件,也就是CMS系统进行管理。确实,网站太多,管理起来麻烦,所以有了站群管理系统,方便统一管理。

但国内知名的做政府和教育的站群管理软件的公司就那么几家,存在大量复制的案例,都是模版化的开发和部署——框架一样,默认部署。而站群管理系统的后台管理界面又通常会有这些公司的信息:如技术支持@张三公司,如果巧妙运用搜索“张三公司+后台管理”,就可以找到大量的站群后台。

没有把站群软件的后台隐藏起来,这也太大意了!同样的方法,一锅端,效率不是一般得高。

知道这个共性,如果再稍微努力一点,或者攻击者稍微懂那么一点儿渗透技术,拿到站群软件的漏洞,是不是更恐怖?影响更大?

仔细想想安全真不是自己一个人的事儿,别人家着火了,和咱不是没半毛钱关系,谁让我们用的都是同一家公司开发的软件呢?

亲爱的网站安全管理人员,请您好好清查一下自己的后台吧,暴露后台的行为完全是对攻击者的藐视和不屑。如果您一定要如此任性,建议使用瑞数动态应用防护系统,小瑞瑞可以保护您不被暴力破解和撞库,这真的是忠告,不是广告。