web admin 文件夹放在哪里?
Where to place the web admin folder?
我已经对我的网站进行了编码,几乎可以部署了。唯一令人困惑的是将管理(后端)文件夹放置在何处以实现不可见性(扫描仪如 acunetix)和安全性。
目前,admin 文件夹位于根文件夹中,如下图所示
我阅读了有关 "security through obscurity" 的内容,并且对该主题有一定的了解。我在想什么(以前从未做过或尝试过)创建一个子域 www.admin.abc.com,然后在那里上传管理内容。
哪种方法更好?
真诚地寻求您的宝贵意见。
与所有文件一样,无论是管理文件还是其他文件,如果您不希望网络服务器将 URL 直接映射到文件,则应将其完全排除在 webroot 之外。否则,它可能应该放在 webroot 下的某个地方。
隐蔽性安全问题的要点在于,您不能相信一个微不足道的秘密(如 URL)来保护它。因此 URL 是什么并不重要(至少从安全的角度来看),您可以将它放在任何方便的地方。只需确保您设置了一些真正的安全措施(例如基于密码的身份验证)。
或者,您可以使用 HTTP 身份验证限制 admin 文件夹,这样黑客在看到登录页面之前需要绕过 http 身份验证。这应该可以保证管理员的安全,并且像 Acunetix 这样的应用程序也会通过它。
除上述之外,您还可以确保管理员使用 HTTPS 以防止密码劫持。
首先,你不应该担心你的后端文件夹位置如果你的代码没有漏洞。
如果它是私有软件(未向 public 开放源代码),那么您的机会更大,但是当您仍处于编码初期时,您可能存在很多漏洞。
扫描软件无法发现任何未link编辑的文件夹(html 来源中没有 link),除非通过猜测最流行的关键字。
- 建议后端文件夹可以自由重命名(不要从外部include),取一个不常见的名字,甚至每个网站都不一样。
- 如果您认为自己可能存在代码漏洞,也可以使用 Apache 密码保护来保护该文件夹。
我已经对我的网站进行了编码,几乎可以部署了。唯一令人困惑的是将管理(后端)文件夹放置在何处以实现不可见性(扫描仪如 acunetix)和安全性。
目前,admin 文件夹位于根文件夹中,如下图所示
我阅读了有关 "security through obscurity" 的内容,并且对该主题有一定的了解。我在想什么(以前从未做过或尝试过)创建一个子域 www.admin.abc.com,然后在那里上传管理内容。
哪种方法更好?
真诚地寻求您的宝贵意见。
与所有文件一样,无论是管理文件还是其他文件,如果您不希望网络服务器将 URL 直接映射到文件,则应将其完全排除在 webroot 之外。否则,它可能应该放在 webroot 下的某个地方。
隐蔽性安全问题的要点在于,您不能相信一个微不足道的秘密(如 URL)来保护它。因此 URL 是什么并不重要(至少从安全的角度来看),您可以将它放在任何方便的地方。只需确保您设置了一些真正的安全措施(例如基于密码的身份验证)。
或者,您可以使用 HTTP 身份验证限制 admin 文件夹,这样黑客在看到登录页面之前需要绕过 http 身份验证。这应该可以保证管理员的安全,并且像 Acunetix 这样的应用程序也会通过它。
除上述之外,您还可以确保管理员使用 HTTPS 以防止密码劫持。
首先,你不应该担心你的后端文件夹位置如果你的代码没有漏洞。
如果它是私有软件(未向 public 开放源代码),那么您的机会更大,但是当您仍处于编码初期时,您可能存在很多漏洞。
扫描软件无法发现任何未link编辑的文件夹(html 来源中没有 link),除非通过猜测最流行的关键字。
- 建议后端文件夹可以自由重命名(不要从外部include),取一个不常见的名字,甚至每个网站都不一样。
- 如果您认为自己可能存在代码漏洞,也可以使用 Apache 密码保护来保护该文件夹。