15

голосов

Защита админ панели

Думаю многие со мной согласятся,что это необходимая мера в современных условиях.
Ознакомившись со схемами взлома сайтов(конечно же в ознакомительных целях) понял, что весь взлом сводиться к такой схеме,а именно:
1)найти php уязвимость,чтобы получить возможность делать SQL инъекции.
2)при помощи SQL инъекции хакер вытягивает логин:пароль(хеш пароля,если быть точным)
3)Расшифровывает хеш,или пользуется уже готовыми подборами по базам.
4)Ищет админ. панель и логинится в нее как администратор.
5)Делает что хочет
Как можно защититься от данных деяний?
1.Конечно же делать безопасный и защищенный код(но дырок все же не избежать)
2.Предусмотреть возможность изменения адреса админ панели(почти во всех современных cmsках данная возможность предусмотрена)
3.Ограничение доступа к админ панели по ip адресу.
4.И думаю последнее(решение пришло к нам из банковской сферы) это после удачного ввода логина и пароля отправлять на телефонный номер смс с кодом авторизации,которое необходимо ввести после прохождения формы логин:пароль.
На самом деле вариантов десятки,если не сотни. Главное,чтобы после их применения, админка была надежно защищена.

Dreadnought, 21.05.2012, 20:34
Официальный ответ
vofka, 11.09.2012
http://www.webasyst.com/ru/blog/security-improvement-advices-1/
Статус идеи: выполнено

Комментарии

Alexander Muzychenko, 11.09.2012, 12:04
Почти всё, о чём вы написали уже сделано: http://www.webasyst.com/ru/blog/security-improvement-advices-1/

Оставить комментарий