DeDeCMS 每次都被黑出翔了!!DEDECMS漏洞扫描

最新推荐文章于 2024-11-14 22:20:59 发布
原创 最新推荐文章于 2024-11-14 22:20:59 发布 · 7.4k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#dedecms #漏洞 #黑客 #PHP

本文探讨了在使用开源程序Dedecms的基础上开发分类信息平台时遇到的问题,包括频繁发现的安全漏洞和危险代码。文章分析了开源程序的开放性导致的问题,并提出了解决方案,建议彻底放弃Dedecms,转向其他更安全的平台。

在dedecms基础上用插件的形式制作了一分类信息平台,结果问题不断的接踵而至。每次上去扫描一下,各种漏洞、危险代码一堆一堆的,完全被黑出翔了。

之所以这样的原因,

1)开源程序的开放性,让所有人都可以阅读源码,研究的人越多,找出漏洞的概率越高。

2)dedecms是基于PHP4 研发,当时PHP并未考虑到那么多,但是要重构,估计dedecms官网自己也不愿意,更别提其他人!


解决方法:

1)彻底放弃dedecms!

文:default.fu@foxmail.com




精选资源
dedecms批量漏洞扫描.zip_dedecms_dedecms 扫描器_dedecms漏洞_dedecms路径扫描_批量扫描
07-13
dedecms批量漏洞扫描,大家可以自己试试效果
基于Python语言的dedecmscan漏洞扫描工具设计源码
10-03
通过Python,开发者能够构建一个功能全面、操作简便的漏洞扫描器。此外,工具中还包括了一个.gitignore文件,这个文件在使用Git版本控制系统时非常有用,它指定了不希望Git跟踪的文件和目录,有助于保持版本控制的...
safe6dedecms(织梦)漏洞辅助检测工具
safe6
07-12 6406
注意我的说的漏洞辅助检测工具,并不是真的漏洞检测。目前支持dedecms 5.7、5.6、5.5、5.1、5.3、5.0功能:很简单就是dedecms各个版本现过漏洞的页面,进行批量检测文件是否存在而已。并不是检测poc!!!!使用:需要jdk,需要配置java环境需要其他功能,可以联系我添加。软件仅供技术交流,请勿用于商业及非法用途,如产生法律纠纷与本人无关! www.safe6.c链接:ht...
dedecms 漏洞_dedescan一款织梦漏洞扫描
weixin_39661780的博客
11-29 1964
dedescan是一款可以扫描所有已公开的dedecms漏洞的扫描器。 ... ... ... ... ...
dedecmscan漏洞扫描
晚风不及你
03-16 1653
介绍 推荐一款,大佬编写,实用工具,只做推荐,请勿违法,如有侵权,请联系我删除。 dedescan是一款可以扫描所有已公开的dedecms漏洞的扫描器。 github地址 https://github.com/lengjibo/dedecmscan 安装依赖 • requests • re • termcolor • threading • itertools 使用方法 python3 dedescan.py 提示输入域名 参考链接 https://github.com/lengjibo/dedecmsc
服务器被植入挖矿程序 该怎么查杀挖矿病毒
网站安全专家
06-06 9206
阿里云ECS服务器是目前很多网站客户在使用的,可以使用不同系统在服务器中,windows2008 windows2012,linux系统都可以在阿里云服务器中使用,前段时间我们SINE安全收到客户的安全求助,说是收到阿里云的短信提醒,提醒服务器存在挖矿进程,请立即处理的安全告警。客户网站都无法正常的打开,卡的连服务器SSH远程连接都进不去,给客户造成了很大的影响。 随即我们SINE安全工程师...
用burp扫描dedecms漏洞
最新发布
04-01
为了成功使用 Burp Suite 对 Dedecms 进行漏洞扫描,需完成以下准备工作: - **安装并配置 Burp Suite**:下载并安装 Burp Suite 社区版或专业版[^1]。 - **设置浏览器代理**:将浏览器的网络代理指向本地运行的 ...
漏洞挖掘-漏洞扫描
qq_59081708的博客
04-11 621
python sqlmap.py -u "url" --dbs 枚举所有数据库python sqlmap.py -u "url" --current -db 当前数据库python sqlmap.py -u "url" -D db_name --tables 查询某数据库的表python sqlmap.py -u "url" -D db_name -T table_name --columns 查询数据列表。
DedeCMS漏洞扫描工具
yubaibai618的博客
11-14 358
输入pip install termcolor不挂梯子可能会下载不了。启动代码python dedescan.py。下载到目录,直接在文件路径中输入cmd。需要用到环境termcolor。
织梦漏洞超级利用工具
07-03
软件功能非常强大,懂的人可以拿去测试呵呵,不懂的人,你也就OUT了!~~
DEDE漏洞利用EXP
06-06
DEDE的EXP利用工具和教程。教程里面有详细的解说。
Linux 平台下的漏洞扫描器 Vuls
开心的小包子
11-21 852
Vuls 是一款适用于 Linux/FreeBSD 的漏洞扫描程序,无代理,采用 Go 语言编写,对于系统管理员来说,每天必须执行安全漏洞分析和软件更新都是一个负担。 为避免生产环境宕机,系统管理员通常选择不使用软件包管理器提供的自动更新选项,而是手动执行更新。这会导致以下问题: 系统管理员必须不断注意NVD(National Vulnerability Database)或类似数据库中的新漏...
dedecms 5.7sp2 20170405运行PHP7.1的大坑(dedecms PHP7.1)
weixin_34236497的博客
09-04 1262
今天一个小站用了dedecms最新版,也就是5.7SP220170405版,(见下图)   点进去到下载页面下载,用了UTF8版本的。(见下图) 下载完成后,自己新开发了一套模板,听说PHP7.1性能提升了不少,就决定用PHP7.1部署。网站上线后,在PHP5.6下面,完全正常,但服务器PHP切换到7.1,头和尾部都不能正常显示。这里就是再说是哪个网站了,也不发截图了。 会是什么原因呢...
织梦dedecms后台文件media_add.php任意上传漏洞解决办法
qq_31763129的博客
04-26 3147
织梦在安装到阿里云服务器后阿里云后台会提示media_add.php后台文件任意上传漏洞,引起的文件是后台管理目录下的media_add.php文件,下面跟大家分享一下这个漏洞的修复方法: 首先找到并打开后台管理目录下的media_add.php文件,在里面找到如下代码: 1$fullfilename = $cfg_basedir.$filename;在其上面添加一段如下代码:         1...
dedecms 留言本 XSS 漏洞
收集盒 Book box
09-09 799
dedecms 的 0day 又来了 呵呵。其实只是xss,结合下社工还是可以拿shell的 plus/guestbook/index.php >>>>function init() { document.write(\'Hacked by qing\');}win
DedeCMS(CVE-2019-8933)
m0_74559567的博客
03-15 1545
密码就是在字典里面,但是我们发现并没有爆破成功,原因是请求过快,输入错误的时候网页会跳转错误页面然后再返回再次登录。查看源代码,找到验证码的url,当然也可以右键打开验证码链接,或者直接拖就可以。然后再次开始攻击,攻击完成后,排序长度,不一样的基本是成功的。返回Bp插件界面,然后右键导入模板,填入接口url。payload1的位置,添加常用的密码字典进行爆破。点击浏览,是可以被成功解析的,使用蚁剑进行连接。payload2位置,选择的是验证码的插件。抓包验证码的网页后,右键发送到插件。
织梦dedecms注入漏洞pm.php修复方法
kakashs
01-15 1316
/member/pm.php这个是dedecms注入漏洞,处理方案如下: 打开/member/pm.php,搜索: elseif($dopost=='read') { $sql="SELECT*FROM`dede_member_friends`WHEREmid='{$cfg_ml->M_ID}'...
漏洞复现,DeDeCMS织梦
qq_53188113的博客
11-25 3260
目录 一、复现环境 二、复现过程及环境 一、复现环境 PHP 5.6 DeDeCMSV5.7SP2 正式版(2018-01-09) 二、复现过程及环境 安装 DeDeCMS 首先,利用PHPstudy安装环境 点击网站,进入后再点击创建网站,然后填写域名,可根据自己的需要来填写 回到文件夹,打开 DeDeCMS所在文件夹的uploads路径,把其下所有的文件复制到 studypro文件夹的www目录中即可 域名/install/ 进入安装页面 填写好..
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值