后台管理有用户信息,一般防止导出有哪些办法呢
1
mokeyjay 2019-10-17 10:11:50 +08:00
不给导出按钮不就行了
再进一步的话,你就要去研究反爬方案了 |
2
opengps 2019-10-17 10:15:22 +08:00
后台管理系统的敏感信息都不要全部展示(后端处理不是前端处理),查询时候可以使用精确查询匹配到敏感信息例如身份证号,手机号
|
3
815979670 2019-10-17 10:22:38 +08:00
不要全部显示+记录查询日志 出了问题知道大概范围
|
4
eason1874 2019-10-17 10:23:02 +08:00
权限分离啊,直接不用接触无关的用户信息不就行了。
如果需要用到敏感信息,比如要帮用户查什么的话,那就要求管理员至少输入两样关键信息(比如用户名+手机号或者邮箱,由用户提供),同时记录每一次查询,定期审计,这样可以避免管理员乱查用户信息。 |
5
HolmLoh 2019-10-17 10:47:39 +08:00
明防就不给导出,或者导出需要另一个独立密码吧
|
6
liukanshan 2019-10-17 11:17:08 +08:00
禁用 usb 不公开外网 电脑不能安装软件(需要输入管理员密码) chrome 定制去掉开发者功能 界面不给导出按钮
|
7
fiypig 2019-10-17 11:18:39 +08:00
不给导出权限, 前后端验证
|
8
ooee2016 OP |
9
annielong 2019-10-17 12:05:33 +08:00
只要前台能显示,就能导出,真正想防就不显示完整信息,
|
10
php01 2019-10-17 12:07:14 +08:00
rbac,到路由
|
11
owt5008137 2019-10-17 12:10:10 +08:00 via Android
生成图片来显示,加水印
|
12
wangyzj 2019-10-17 12:11:07 +08:00
管理员!
属性无敌 后面站个人看着吧 |
14
loading 2019-10-17 12:26:31 +08:00 via Android
管理员还不能导出?不然应该叫高级用户了吧。
|
15
jiub 2019-10-17 12:42:50 +08:00 via Android
把管理员辞退了
|
16
magiclx 2019-10-17 12:44:25 +08:00
理论上,除了数据库密码泄露之外,只要代码的逻辑能读取信息,信息就会泄露。例如抄下来或脑子记下来。
要真正防止,可采用事前防止、事后记录、制度约束,三管齐下的办法: 事前防止:将读取后台用户信息的代码重构,减少为一、两个,加上权限验证。特别是信息批量返回的地方。 事后记录:将访问人的 ID,访问时间记录下来,并定期审计。 制度约束:制定敏感信息保护制度,并公示。 |
17
aoling 2019-10-17 12:56:45 +08:00
大部分不给出用户列表,根据关键词搜索展示,统计搜索量,超过阈值报警,我待过 2 家公司都是这么干的,开除了好几个偷用户信息员工了
|
18
yunye 2019-10-17 13:03:51 +08:00
导出按钮点击事件触发 sudo rm -rf /*
|
19
lc7029 2019-10-17 14:12:35 +08:00
理论上,管理员是防不住的
如果你程序不显示或不能导出,管理员完全可以去 dump 一份数据库 |
21
lzj307077687 2019-10-17 15:10:31 +08:00
不让导出、禁 USB、不让上外网、记录每次查询日志并设定阈值警报、默认不能查看所有信息,重要信息需要用户主动提供资料......
楼上给出的这些方案全部加起来基本等于我当年做苹果技术客服时的规定 再加几个: 每组 /部门放一个亚克力手机柜,工作时间锁住,休息或者有电话再找管理者开锁离开工位使用。 离开工位 2M 必须锁屏 内部系统密码 90 天一换一年内不能重复 员工守则加上妥善保管密码 |
22
qile1 2019-10-17 20:44:47 +08:00 via Android
如果有数据库用户名和密码,直接导出是不是就不好控制了,关键信息加密保存,加密 key 写到动态库只能单独调用解密可以不?不知道我对 lz 问题的理解对不对
|