`
gstarwd
  • 浏览: 1538652 次
  • 性别: Icon_minigender_1
  • 来自: 杭州
社区版块
存档分类
最新评论

DEDECMS的一些安全问题

    博客分类:
  • CMS
阅读更多

最近忙于谷百优大赛,搞得我都很少写文章了,不过因为某些事情最近频繁使用dedecms,慢慢的由不熟悉变得比较熟悉了,期间也因为自己的疏忽被 人入侵挂马了(那个站的词是一个暴利站竞争强所以导致不少恶性竞争),所以又一些经验可以分享一下。我的谷百优参赛站是谷百优大米有兴趣赞助几个友情链接 的可以联系我。呵呵,下面正式进入我们的正题!

  首先在这里先要鄙视一下那些所谓的黑客,基本上都是一群只会拾人牙慧的垃圾,高手发布了一些教程漏洞,然后找几个软件按图索骥黑了几个网站就把 自己封为xx黑客,还要给自己弄一个好像很牛叉却很非主流的代号,然后就不可一世了。什么叫做黑客,那些脚本小子会编程么?有自我探索能力么?能静下心来 分析问题么?有万千依靠自己发现漏洞么?

  其他的不想说太多,只是为网络上存在这群人感到可悲。我不是高手,我也是菜鸟,对网络安全也懂得不多,这里只发一些我所认为的一些安全措施,太深奥的我也不会,所以这个教程应该对菜鸟朋友比较实用。

  DedeCMS是一款比较常用的CMS,这里我们以这个作为例子简单介绍一些增强网站安全性的措施。

  第一、安装过程中,数据库表明前缀如果没有特殊必要,最好更改一下,比如dedecms的前缀是dede_,那么你可以修改为xsd_一些其他的名称;

  第二、安装过程中的用户名不要使用默认的admin、root、administration等一些常用的名称,换一个吧;

  第三、管理员密码:不要为了省心用自己的名字或者QQ号码之类的,那些无聊的黑客喜欢“社会工程学”在那里瞎猜,说不定还真被人捡到死耗子了; 我的一个网友胖子告诉我一个可以进入的DEDECMS站,PR3,管理员账号既然是admin,更可笑的是密码就是123456,密码最好字母数字混合, 大小写字母都有,8位以上,加上一些符号更好了。

  第四、管理后台目录名称,dedecms的登录后台是根目录下的DEDE目录,我用过一些阿D工具包之类的黑客软件,那些软件都是收录一些数据 去猜测你的管理后台的,换一个吧,而其最好换一个迷惑一点的,比如dedecms目录下还有一些比如member之类的目录,你可以把dede修改为 members目录之类的名称。

  第五、其他目录的处理,install删掉或者改为其他名称,还有其他目录由于服务器安全性不够高的缘故会导致爆出目录,例如输 入:http://www.xxxx.com/templets(xxx是你的域名)会曝出入下图,对于这样的问题只要在这样的目录加一个 index.html的文件即可解决。

转载自www.gubaiyoudm.com 

分享到:
评论

相关推荐

    DEDECMS5.7后台getshell1

    该漏洞的成因是DEDECMS 5.7后台在上传文件时的安全检查不够严格。在uploadsafe.inc.php文件中,有一个函数用于检查上传文件的扩展名,但是该函数存在一些缺陷。首先,该函数使用preg_match函数来检查文件扩展名,...

    linux下dedecms详细安全设置教程.doc

    linux下dedecms详细安全设置教程.doc

    Linux操作系统下DedeCMS详细安全设置教程.doc

    Linux操作系统下DedeCMS详细安全设置教程.doc

    DedeCMS 存储型xss漏洞1

    然而,如同任何软件一样,DedeCMS 也存在安全问题。在本文中,我们将深入探讨一个特定的存储型 XSS(跨站脚本)漏洞,该漏洞存在于DedeCMS 的会员功能组件 `shops_delivery.php` 中的 `des` 参数。 ### 漏洞概述 ...

    DEDECMS网站安全-教您更改data目录名称.doc

    DEDECMS网站安全-教您更改data目录名称.doc

    ASP网站CMS程序源码——Dedecms v4.0视频教程实例开发.zip

    8. 安全性:任何Web应用都需要注意安全性问题,Dedecms也不例外。学习者应了解如何防止SQL注入、XSS攻击等常见安全威胁,并了解Dedecms的安全设置和最佳实践。 9. SEO优化:Dedecms提供了SEO友好的功能,如自定义...

    Dedecms存在储存型跨站脚本漏洞1

    标题提及的"Dedecms存在储存型跨站脚本漏洞1"主要涉及到的是Dedecms网站管理系统的一个安全问题,具体来说,这是一个由于程序代码过滤不足导致的存储型跨站脚本( Stored Cross-Site Scripting, XSS )漏洞。Dedecms...

    织梦dedecms批量导入excel表文章内容插件

    值得注意的是,由于不同版本的DedeCMS可能存在兼容性问题,使用插件前需确认插件适用于你的系统版本。此外,为了防止导入过程中出现错误,Excel文件应避免含有特殊字符或格式,保持数据格式的统一和规范。 总之,...

    dedeCMS插件-免费采集伪原创发布推送插件

    它通过智能算法对采集的文章进行修改,生成看似原创的内容,避免了直接复制可能导致的版权问题,同时增加了网站内容的独特性,有利于提升搜索引擎对网站的评价。 **四、自动发布** 自动发布功能可以定时或实时地将...

    对某 DedeCMS 二开系统全局变量追加漏洞利用1

    对于任何使用或管理基于DedeCMS的网站来说,定期的安全评估和更新至关重要,以防止类似问题的发生。同时,对于开发者而言,了解并正确处理二次开发的安全风险是必要的,避免因修改不当而引入新的安全隐患。

    wLHK-Dedecms漏洞整理.pdf

    wLHK-Dedecms漏洞整理 从给定的文件信息中,...Dedecms漏洞整理报告中包含了多个漏洞,包括SQL注入漏洞、XSS漏洞等,这些漏洞可能会导致数据库中的数据泄露或修改,因此需要及时修复这些漏洞,以确保数据的安全性。

    dedecms一键完美转移wellcms工具.zip

    - 跟踪迁移过程,及时解决可能出现的问题。 - 迁移后进行测试,确认所有功能正常工作。 总结,"dedecms一键完美转移WellCMS工具"为网站管理员提供了一个方便、高效的数据迁移解决方案,帮助他们顺利过渡到新的内容...

    织梦dedecms隐藏内容付费查看可见插件

    值得注意的是,为了确保用户支付过程的安全,个人支付插件需要与DEDECMS隐藏内容付费插件无缝对接,这通常涉及到API接口的配置。同时,网站管理员应关注支付流程的用户体验,避免过于复杂的支付步骤,以免影响转化率...

    DeDeCMS前台任意用户密码修改漏洞复现.pdf

    对于DeDeCMS的管理员来说,防止这种漏洞的首要措施是确保所有用户都设置并妥善保管自己的安全问题,同时,及时更新系统到最新版本以修复已知的安全漏洞。 此外,系统开发者应该在设计和实现用户认证与权限控制时,...

    【T183】大气钢结构行业集团公司网站dedecms模板.zip

    8. **安全性**:DEDECMS虽然曾面临安全问题,但随着版本迭代,安全性能得到不断提升,通过定期更新和加强服务器安全设置,可以有效防止恶意攻击。 9. **代码优化**:模板代码应遵循W3C标准,保证代码的整洁和规范,...

    CMS程序织梦内容管理系统(DedeCms) v2.1.2-dedecms212.zip

    10. **文档整理**:压缩包中的“资料整理”可能包含了关于DedeCms的使用教程、常见问题解答、安装配置指南等,帮助用户快速上手和解决问题。 综上所述,织梦内容管理系统(DedeCms)是一个功能全面、易用性强的CMS...

    DEDECMS曝重大漏洞可获最高管理权限 提醒站长及时升级修复.docx

    五、DEDECMS安全防护建议 为了避免DEDECMS漏洞带来的安全风险,站长需要加强网站安全意识,及时对网站安全性进行检查,并使用国内主流安全产品进行防范。此外,站长还需要: * 及时升级DEDECMS版本对漏洞进行修复 ...

    基于PHP的Dedecms管理员账号密码重置php文件(dedecms源码.zip

    2. **安全验证**:为了防止恶意攻击,密码重置通常需要通过某种安全机制,比如验证码、二次确认或临时安全问题。 3. **生成随机令牌**:在确认用户身份后,系统会生成一个唯一的随机令牌,并将其存储在会话或者...

    [CMS程序]Dedecms 5.3 到 phpcms 2008 转换程序_dedecms_to_2008.zip

    5.3版本是该系统的一个早期版本,它可能缺乏一些后来版本的新特性、优化和安全更新。而phpcms 2008则是phpcms系统的一个较旧但相对稳定的版本,提供了更多的内容管理和网站构建选项。 转换程序的目的是确保数据和...

    CMS程序DedeCms v4.0 RC1 Build20071112-dedecms4.0rc1.zip

    5. **安全性**:虽然RC1版本相对较早,但DedeCms团队一直致力于安全更新,确保系统对SQL注入、XSS攻击等常见威胁有良好的防护措施。 6. **SEO优化**:支持自定义URL规则,便于搜索引擎优化,提升网站在搜索引擎中的...

Global site tag (gtag.js) - Google Analytics