仅使用普通的旧管理员 URL 即可访问 Django 应用程序中的管理界面是否危险?为了安全起见,是否应该将其隐藏在类似于 64 位唯一 uuid 的模糊 url 下?
另外,如果你创建了一个到管理界面的模糊链接,你怎么能避免让任何人发现它在哪里?如果您的网站或互联网上的任何地方都没有指向该 url 的链接,google-bot 是否知道如何找到该 url?
MikeN
问问题
2091 次
4 回答
16
您可能需要注意字典攻击。最安全的做法是使用您的 Web 服务器配置 IP 限制对该 URL 的访问。您还可以限制对该 URL 的访问 - 我上周发布了一篇关于此的文章。
于 2009-01-17T18:03:51.000 回答
4
如果一个 URL 在互联网上不存在,“googlebot”就无法知道它......除非有人告诉它。不幸的是,许多用户在他们的浏览器中安装了工具栏,这些工具栏将浏览器访问的所有 URL 提交到各种服务器(例如 Alexa、Google)。
因此,从长远来看,将 URL 保密是行不通的。
uuid 也很难记住和输入 - 导致额外的支持(“又是什么 URL?”)。
但我仍然强烈建议更改 URL(例如更改为 /myadmin/)。这将挫败自动扫描和攻击工具。因此,如果有一天“伟大的 Django 蠕虫”在 Internet 上出现,那么您被攻击的机会就会低得多。
使用 PHPmyAdmin 的人在过去几年有过这样的经历:更改默认 URL 可以避免大多数攻击。
于 2009-01-18T11:40:17.497 回答
3
虽然添加额外的保护层(一个模糊的 url)并强制执行良好的密码选择(检查密码强度并检查它不在一个大的常用密码列表中)并没有什么坏处,但会更好地利用您的时间。
于 2009-01-17T17:32:24.277 回答
1
假设您选择了一个好的密码,不,这并不危险。人们可能会看到 该页面,但无论如何他们都无法进入。
如果您不希望 Google 为目录编制索引,则可以使用robots.txt文件来控制它。
于 2009-01-17T16:43:10.053 回答