`
gstarwd
  • 浏览: 1525192 次
  • 性别: Icon_minigender_1
  • 来自: 杭州
社区版块
存档分类
最新评论

DEDECMS安全设置,解决dedecms经常被挂马的问题

    博客分类:
  • CMS
阅读更多

     经常看到有的朋友说“DEDE程序有安全问题,我的网站又被挂马了”我却觉得Dede的应该没有问题,根据查看dede的用户表单的源码,都是有过滤的。用dede的用户那么多,如果真的有安全漏洞,我怕用的不会只是几个朋友而已。
下面是黑客常用的SQL注入手段和大家要注意的东西

1.用工具,用黑客的工具去检查你网站的漏洞~当然不要滥用~用些注入SQL的黑客软件检查下你网站就可以了(如啊D注入器等等,我都使用过,没有发现 Dede有漏洞有可以挂码的地方,不信你也可以去测试,当然我不知道不代表没有,但是你也应该知道,使用dede的朋友有多少,如果真的出现很容易被抓的 漏洞,要被挂的网站数量恐怕会很恐怖)

2.后台地址一定要改,不要用DEDE这个文件夹做你的后台,有些朋友竟然不知道Dede这个后台文件夹可以改名!?

3.后台最好加上验证码,虽然麻烦了点,但是可以避免不少的小黑客用社会工程学来破解你的网站(我就试过,很多朋友的密码常常是手机号,域名,qq等等)

4.如果给自己的网站增加了字段(比如要求用户申请时输入生日等等)要过滤,别自己的问题推到了DEDE的头上。(建议有一定PHP技术的朋友去修改,为 达到功能不是简单的在前台增加表单后台增加发布表单然后增加数据库字段这么简单,要防止XSS攻击就要注意增加 htmlspecialchars,mysql_escape_string())

5.还有不少的朋友在自己的空间上为了增加功能还使用了一些小程序(那些程序我也用过忘记删除了,结果被挂码)比如:相册、报名之类的程序,这些程序的作 者都是些不出名的,他们的程序基本上会有一定的风险,有的黑客就可以利用这点,上传blackeyes小马(就是木马),得到你的虚拟空间的使用权,然后 就是用工具批量挂马。

6.别忽视了IDC服务器商的风险哦,我告诉你~对于黑客来说~为了挂你的站,常常不是使用对点方式的破解,而选择旁注入的方法,他们的方法就是破解与你 同一个服务器上的其他网站,不要不信,别人要知道你网站的邻居有哪些轻松的很(进这个网站自己查查看同一ip下的所有网站,输入你的ip地址就可以了http://www.myipneighbors.com/ ),破解你同一服务器上的其他用户,让你挂马也是很轻松的了(我用这个方法就挂过别人的网站)。对于一些好的服务器尚对于这个限制的厉害,就不会出现这个问题。

7.还有就是你开启的用户上传这一栏最好严格控制一下,这个也比较关键,如果黑客不是破解你后台的话,挂你马也就难多了,因为他们需要上传一个挂马工具上来,如果你已经被挂马了,切记要检查下你的网站是不是允许上传html.php.asp等文件了。

8.时刻关注Dede官方发布的安全补丁,上次出的几个安全补丁我都研究过了,有些漏洞都是因为双重原因才可能被别人利用(Dede竟然也重视了,可见 DEDE还是关注安全问题的,我记得那个会员补丁好象是1月发布的,2月有些黑客网站发布了针对没有打这个补丁的网站进入挂马的文章,竟然还有一些朋友中 了~我很无语,希望大家随时关注官方的安全补丁)

9.有些朋友经常把中了马之后的文件上传到这个论坛然后希望大家一起研究,我想说“那个东西上传了也不能得到防止的方法,因为那个JS或者iframe并不是关键,你上传了大家只能去破解下加密文件的木马而已。”别人留下的东西只是目的而不是工具。

10.不可抗拒的自然因素,比如一个超级顶级黑客要挂你的网站,我怕很多没有毛病的东西都会有毛病了,相信我一句话,挂马的黑客都是一些菜鸟黑客和工具黑客,做好以上,那些黑客就不知道怎么做了。

http://www.okrm.net/html/CMSJiaoCheng/200811/5671.htm

分享到:
评论

相关推荐

    dedecms批量漏洞扫描.zip_dedecms_dedecms 扫描器_dedecms漏洞_dedecms路径扫描_批量扫描

    dedecms批量漏洞扫描,大家可以自己试试效果

    DEDECMS5.7后台getshell1

    该漏洞的成因是DEDECMS 5.7后台在上传文件时的安全检查不够严格。在uploadsafe.inc.php文件中,有一个函数用于检查上传文件的扩展名,但是该函数存在一些缺陷。首先,该函数使用preg_match函数来检查文件扩展名,...

    DedeCMS 存储型xss漏洞1

    然而,如同任何软件一样,DedeCMS 也存在安全问题。在本文中,我们将深入探讨一个特定的存储型 XSS(跨站脚本)漏洞,该漏洞存在于DedeCMS 的会员功能组件 `shops_delivery.php` 中的 `des` 参数。 ### 漏洞概述 ...

    dedecms在线订单发送邮件插件_dedecms_织梦CMS_

    如图所示:dedecms在线订单发送邮件插件用途:访客在线发送信息到您预先设置的邮箱,稍加修改,即可作为订单、反馈、求职等邮件发送。解压包里有安装说明,新手不会的话可以联系站长,或者留言即可。

    织梦dedecms批量导入excel表文章内容插件

    值得注意的是,由于不同版本的DedeCMS可能存在兼容性问题,使用插件前需确认插件适用于你的系统版本。此外,为了防止导入过程中出现错误,Excel文件应避免含有特殊字符或格式,保持数据格式的统一和规范。 总之,...

    ASP网站CMS程序源码——Dedecms v4.0视频教程实例开发.zip

    8. 安全性:任何Web应用都需要注意安全性问题,Dedecms也不例外。学习者应了解如何防止SQL注入、XSS攻击等常见安全威胁,并了解Dedecms的安全设置和最佳实践。 9. SEO优化:Dedecms提供了SEO友好的功能,如自定义...

    dedeCMS插件-免费采集伪原创发布推送插件

    总的来说,dedeCMS插件通过集成多种实用功能,为dedeCMS用户提供了强大的内容管理和SEO优化解决方案。无论是内容采集、伪原创生成,还是自动发布和推送,都极大地提高了网站运营的效率,对于依赖内容更新和搜索引擎...

    Dedecms存在储存型跨站脚本漏洞1

    标题提及的"Dedecms存在储存型跨站脚本漏洞1"主要涉及到的是Dedecms网站管理系统的一个安全问题,具体来说,这是一个由于程序代码过滤不足导致的存储型跨站脚本( Stored Cross-Site Scripting, XSS )漏洞。Dedecms...

    织梦dedecms隐藏内容付费查看可见插件

    织梦DEDECMS隐藏内容付费查看可见插件是一款专为基于DEDECMS内容管理系统开发的扩展功能插件。DEDECMS,全称是DedeCms,是由织梦内容管理系统团队开发的一款开源PHP网站管理系统,广泛应用于企业建站和个人博客等...

    dedecms一键完美转移wellcms工具.zip

    - 跟踪迁移过程,及时解决可能出现的问题。 - 迁移后进行测试,确认所有功能正常工作。 总结,"dedecms一键完美转移WellCMS工具"为网站管理员提供了一个方便、高效的数据迁移解决方案,帮助他们顺利过渡到新的内容...

    管理后台UI.rar_dedecms_dedecms后台新样式_dedecms和ui

    【标题】"管理后台UI.rar" 是一个与 Dedecms(织梦内容管理系统)相关的压缩文件,其中包含的 "dedecms_dedecms后台新样式_dedecms和ui" 指示了这个资源是针对Dedecms系统的后台界面进行了设计和优化,特别是风格上...

    对某 DedeCMS 二开系统全局变量追加漏洞利用1

    对于任何使用或管理基于DedeCMS的网站来说,定期的安全评估和更新至关重要,以防止类似问题的发生。同时,对于开发者而言,了解并正确处理二次开发的安全风险是必要的,避免因修改不当而引入新的安全隐患。

    wLHK-Dedecms漏洞整理.pdf

    wLHK-Dedecms漏洞整理 从给定的文件信息中,...Dedecms漏洞整理报告中包含了多个漏洞,包括SQL注入漏洞、XSS漏洞等,这些漏洞可能会导致数据库中的数据泄露或修改,因此需要及时修复这些漏洞,以确保数据的安全性。

    织梦dedecms短信插件_短信设置说明方法

    同时,要定期更新插件和DEDECMS系统,防止被恶意攻击。 3. **用户体验**:在设置验证码有效期、发送频率等参数时,要兼顾用户体验和安全性。过短的有效期或频繁的发送限制可能会给用户带来不便。 4. **备份数据**...

    CMS程序织梦内容管理系统(DedeCms) v2.1.2-dedecms212.zip

    10. **文档整理**:压缩包中的“资料整理”可能包含了关于DedeCms的使用教程、常见问题解答、安装配置指南等,帮助用户快速上手和解决问题。 综上所述,织梦内容管理系统(DedeCms)是一个功能全面、易用性强的CMS...

    【T183】大气钢结构行业集团公司网站dedecms模板.zip

    8. **安全性**:DEDECMS虽然曾面临安全问题,但随着版本迭代,安全性能得到不断提升,通过定期更新和加强服务器安全设置,可以有效防止恶意攻击。 9. **代码优化**:模板代码应遵循W3C标准,保证代码的整洁和规范,...

    dedecms一键解密工具

    dedecms一键解密工具 用起来方便简单 添加地址直接一键使用 dedecms网络渗透专用

    织梦dedecms建站详细教程.doc

    织梦DEDecms建站详细教程 DEDecms是一款流行的内容管理系统,拥有强大的功能和灵活的架构。本教程旨在指导读者快速搭建一个基于DEDecms的网站,涵盖环境配置、程序安装、系统文件夹讲解等多个方面的内容。 ...

    Dedecms_20150618_member_sqli (2).py

    dedecms5.7sp1后台(要能够注册member的vip账户后台才可以)存在sql延时注入exp,用火狐得到账户登录的cookie替换,然后Python2.7跑脚本,from乌云雨神 http://www.hekaiyu.cn/hacker/3060.html

    织梦dedecms在线客服插件GBK+utf-8两种编码_插件_

    织梦内容管理系统(DedeCMS)是一款广泛应用的开源网站建站系统,以其强大的自定义功能和易用性受到许多用户的青睐。"织梦dedecms在线客服插件GBK+utf-8两种编码"是一个专门为DedeCMS设计的扩展组件,旨在为网站提供...

Global site tag (gtag.js) - Google Analytics