来源:http://blog.sina.com.cn/s/blog_4fd5dc8c0100awk3.html
网站管理入口是管理员维护网站的入口,入口的安全对整个网站安全的重要性不言而喻,尤其对政府网站来说。但实际情况是,利用市场上流行的管理入口检测工具对很多政府网站测试,竟然可以顺利进入后台管理页面,不禁为我国的政府网站安全性捏把汗啊。
其实入口检测工具的原理大同小异,想通了这些工具的测试原理,再回头想加强入口的安全性就容易多了。根据网站的URL猜测入口地址,一个关键的步骤是编辑一个比较全的路径字典,这个路径字典是破解的关键,把所有常用的路径都加进去,如admin,manager,manage,conf,Admin,Manager,Manage,Conf,config,sys,system,login,Config,Sys等等,当然路径字典越全,破解的可能性就越大。但反过来想想,如果我作为一个网站的开发者,我的后台地址偏偏避开了这些常用的路径而取一个完全没有意义的组合如tlvafd#12,破解者也难得逞呀(除非他编辑的路径字典是所有字符的完全组合)。当然,如果后台管理入口和网站主页的URL完全不同的话,这种根据URL来破解的方法是完全无效的。安全性也比较好。建议政府网站管理入口采用后者。