最新织梦cms漏洞之安全设置,有效防护木马(更新至20190920)

最新推荐文章于 2024-03-13 21:23:03 发布
最新推荐文章于 2024-03-13 21:23:03 发布
阅读量1.6k 收藏 2
点赞数
CC 4.0 BY-SA版权
分类专栏: 织梦
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/skysem1/article/details/102679928

织梦CMS在安装完成后,新人往往会直接开始开发使用,忽视了一些安全优化的操作,这样会导致后期整个系统安全系数降低,被黑或者被注入的概率极高,毕竟这世界百分百存在着极多的无聊hacker对全网的网站进行扫描,扫到你这个菜站,尤其是使用率极高的DEDECMS,对你的站点下手的欲望更高,所以在开发前做好安全防范还是很有必要的!

安全设置前:备份网站文件及数据库

系统安全优化设置之前,做好备份工作。

安全设置一:删文件

安装完成后会有一些文件,可以说是冗余文件,完全没有作用,反而带来被黑的危险,删除即可,以下目录文件均可删除:

目录 删除原因
/install 安装后的余留文件,没用,整个文件夹删除
/member 会员功能文件,大数企业站没用,文件夹删除,若需要会员功能的就不能删
/special 专题功能,如果你不需要这个功能,文件夹删除,需要就别删,大部分是不需要的
/tags.php TAG标签,没有此功能可删除
网站后台目录dede要删除的文件 删除原因
/dede/tpl.php 文件上传管理系统文件,易被挂马,强烈建议删除或者不用时请改名(tpl备用.php)
/dede/templets_*.php 模板管理功能,老手建议删除,使用FTP管理
/dede/media_*.php 附件数据管理功能文件,易被挂马,删除(用你的FTP管理文件就可以了,别用这个)
/dede/file_*.php 文件式管理器功能控制器文件,易被挂马,删除(用你的FTP管理文件就可以了,别用这个)
/dede/mytag_*.php、mytag_tag_*.php 自定义标记管理,易被上传一句话木马
/dede/story_*.php 小说功能,可删除
/dede/erraddsave.php 纠错功能,可删除
/dede/f
最低0.47元/天 解锁文章

200万优质内容无限畅学
[网络安全自学篇] 四十八.Cracer第八期——(1)安全术语、Web渗透流程、Windows基础、注册表及黑客常用DOS命令
杨秀璋的专栏
02-21 2万+
这是作者的网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前文分享了微软证书漏洞(CVE-2020-0601),并详细讲解了Windows验证机制、可执行文件签名复现及HTTPS劫持。本文将分享另一个主题——Cracer教程,第一篇文章将详细讲解安全术语、Web渗透流程和Windows基础、注册表及黑客常用DOS命令。基础性文章,希望对您有所帮助。
漏洞复现实验报告
qq_45721890的博客
10-30 4093
漏洞复现实验报告 一、 概述 1.1项目背景 内容管理系统(DedeCms) 以简单、实用、开源而闻名,是国内最知名的 PHP 开源网站管理系统,也是使用用户最多的 PHPCMS 系统,在经历多年的发展,目前的版本无论在功能,还是在易用性方面,都有了长足的发展和进步,DedeCms 免费版的主要目标用户锁定在个人站长,功能更专注于个人网站或中小型门户的构建,当然也不乏有企业用户和学校等在使用该系统。 2018 年 1 月 10 日,锦行信息安全公众号公开了一个关于 DeDeCMS前台任意用户密码修
120.网络安全渗透测试—[CMS后台 getwebshell]—[dedecms5.7后台 getwebshell]
qwsn
07-10 3014
我认为,无论是学习安全还是从事安全的人,多多少少都有些许的情怀和使命感!!! (1)进入后台:模块–>文件管理器---->上传文件---->shell.php,内容为 (2)访问:\shell.php(1)进入后台:模块–>文件管理器–>新建文件–>写入wshell.php,内容为 (2)访问:\wshell.php (3)访问:\shell0.php (1)进入后台:系统–>系统基本参数–>核心配置–>专题最大的节点数或FTP端口写入 (2)访问:data\config.cache.inc.php....
漏洞
showso2006的专栏
09-06 1061
<br />最近网站被人挂马,360狂报,真的很影响网站形象。<br />经检查,原来是的模板机制漏洞,只要利用的会员管理功能,发表文章,上传一个带有gif89a的欺骗图片,再访问那篇文章即可以执行脚本代码。然后实现上传木马脚本到网站,就可以为所欲为。<br /> <br />另外,即使你清除了木马,用360检查还是会报警的,只有等360再次检查时发现没问题,才会清除报警。如果要快,可以使用360的验证码嵌入到网站,登录自己的账号,点击验证,大概需要在半小时之后才会再次检查。
cms网站安全防护设置
火狼网络
10-18 1349
总所周知系统是目前开源CMS系统中,使用人数最多的系统之一,所以也被黑客们盯上了,官方对于系统的更新速度也比较慢,所以大家只能自己做好防范工作,这样才能更好的确保网站的安全性。 一:尽量不要使用香港、国外等虚拟空间。 这类虚拟空间,安全性非常低,几百甚至几千个用户的网站都放在一台服务器上,一旦其中的某个网站被攻击,正好他也是系统,那么你的完整就很容易被连带攻击。大家想一下,为什么你
漏洞利用
weixin_53210070的博客
12-14 1689
Dedecms网站建立 php打开网站,开始安装 漏洞利用原理 dedecms系统中使用了SQL语句防注入功能引了的安全警告。在自定义模模型中使用了union|sleep|benchmark|load_file|outfile之一都会引发这个警告,此外采集的内容,如果有‘union 这类语法也会出现在这个警告。解决办法就是把安全检查关掉,打开include下面的dedesql.class.php 和dedesqli.class.php,$this->...
dedecms 漏洞_程序(DeDeCms)常见问题集锦
weixin_39870700的博客
11-29 415
本文版权归西部数码所有,原文链接:https://www.west.cn/faq/list.asp?unid=1723前言:程序是最知名的cms程序,使用广泛,但很多朋友对还不太熟悉,通过工单分析得知,经常容易出现本文中的问题,本次统一整理出来,希望对新手朋友有帮助,本文写的非常详细,请仔细阅读,一、描述:“dedecms错误警告:连接数据库失败,可能数据库密码不对或数据库服务器出错”如图...
dedeCMS V5_7 SP2后台代码执行漏洞复现
qq_39922242的博客
10-27 1161
漏洞描述: DedeCMS V5.7 SP2版本中tpl.php存在代码执行漏洞,攻击者可利用该漏洞在增加新的标签中上传木马,获取webshell 安装dedecms. 打开已知存在漏洞php页面 tpl.php 查看源码 1.定义了一个savetagfile的函数,判断参数”action”是否等于savetagfile,如果等于就进行下一步 2.csrf检验函数,需要加上token来绕过限制 3.正则表达式匹配,判断filename参数是否匹配正则表达式的条件,不匹配就不能进行修改操作。 4.$con
系统(DedeCMS安全加固方案
m0_63641320的博客
03-25 287
一、(DedeCMS)介绍 (DedeCMS)作为国内龙头CMS系统之一,因其系统结构科学合理,操作使用简单,拥有海量用户。 和其他CMS一样,安全漏洞也是其无法避免的问题。虽然官方不断发布补丁、升级版本,但安全问题依然存在。 下面我们讲述如何在不修复程序的情况下,通过安全加固的方法,快速解决(DedeCMS)系统的安全问题。 二、安全防护方法 要解决(DedeCMS安全问题,我们需要使用一款网站专用防护软件-【护卫神·网站锁系统】。 【护卫神·网站锁系统】通过部署ACL权限策略、安
漏洞修复大全(使用建站,有许多漏洞)现在整理了一些
sy_3714的博客
08-17 2781
文章目录使用建站,阿里云中反馈了许多漏洞dedecms /include/payment/alipay.php支付模块注入漏洞修复方案dedecms安全漏洞之/include/common.inc.php漏洞解决办法dedecms任意文件上传漏洞(select_soft_post.php)cms/include/uploadsafe.inc.php漏洞修复方法 使用建站,阿里云中反馈了许多漏洞 现在给大家整理一下漏洞 dedecms /include/payment/alipay.ph
漏洞超级利用工具
07-03
软件功能非常强大,懂的人可以拿去测试呵呵,不懂的人,你也就OUT了!~~
漏洞情报】复现任务
liangtaiwei的博客
12-13 2796
一、漏洞概述 内容管理系统(DedeCms) [1] 以简单、实用、开源而闻名,是国内 最知名的 PHP 开源网站管理系统,也是使用用户最多的 PHPCMS 系统, 在经历多年的发展,目前的版本无论在功能,还是在易用性方面,都有了长 足的发展和进步,DedeCms 免费版的主要目标用户锁定在个人站长,功能 更专注于个人网站或中小型门户的构建,当然也不乏有企业用户和学校等在 使用该系统。 2018 年 1 月 10 日, 锦行信息安全公众号公开了一个关于 DeDeCMS
guestbook.php漏洞,dedecms漏洞大全 | 志博日记
weixin_42512249的博客
03-12 981
1.dedecms文件任意上传漏洞漏洞一文件位置:/dede/media_add.php找到64行$filename = $savePath."/".$filename;改成$filename = $savePath."/".$filename; if (preg_match('#\.(php|pl|cgi|asp|aspx|jsp|php5|php4|php3|shtm|shtml)[^a-zA...
dedecms严重0day漏洞(直接进后台)分析及修复
Yatere的天平秤
08-17 2763
众所周知,因使用简单、客户群多,CMS一直被爆出许多漏洞。今天小编在群里得到官方论坛某版主可靠消息:“DEDECMS爆严重安全漏洞,近期官方会发布相关补丁,望大家及时关注补丁动态。” bug被利用步骤如下: http://www.ywen.info/网站后台/
dedecms漏洞修复大全含任意文件上传漏洞与注入漏洞
zxy840552216的博客
07-12 1441
很多人说dedecms不好,因为用的人多了,找漏洞的人也多了,那么如果我们能修复的话,这些都不是问题,今天就为大家讲解一下如何修复任意文件上传漏洞与注入漏洞。任意文件上传漏洞修复包含一个文件/include/dialog/select_soft_post.php;SQL注入漏洞包含5个文件/include/filter.inc.php /member/mtypes.php /member/pm.php /plus/guestbook/edit.inc.php /plus/search.php...
dedecms漏洞修复大全注入漏洞
unixtech的博客
12-21 3662
很多人说dedecms不好,因为用的人多了,找漏洞的人也多了,那么如果我们能修复的话,这些都不是问题,今天乐清网站建设的赵老师就为大家讲解一下如何修复任意文件上传漏洞与注入漏洞。任意文件上传漏洞修复包含一个文 DEDECMS||漏洞修复|
漏洞复现--CMS_V5.7任意用户密码重置漏洞
HengMengSec的博客
08-16 2566
内容管理系统(DeDeCMS)以其简单、实用、开源的特点而著名。作为国内最知名的PHP开源网站管理系统,它在多年的发展中取得了显著进步,无论在功能还是易用性方面都有长足的发展。该系统广泛应用于中小型企业门户网站、个人网站、企业和学习网站建设。在中国,DedeCMS被认为是最受欢迎的CMS系统之一。但是,最近发现该系统的一个漏洞位于member/resetpassword.php文件中。由于未对接收的参数safeanswer进行严格的类型判断,攻击者可以利用弱类型比较来绕过安全措施。
DedeCms系统漏洞复现
LIU6636LIU的博客
03-13 3051
1 部署好之后发现系统默认管理路径是dede,登陆管理后台可以通过地址然后有dedecms安全提示直接打开根目录修改dede文件夹为LYP重新进去管理员后台对数据进行还原看一下网站的地址接着生成新的网站然后即可访问网站,CMS搭建完毕首先打开后台管理页面开启会员功能这样就可以注册一个账户。
dedecms安全设置漏洞修复大全
sqk210的博客
10-26 1549
  删除member special install 打开plus文件夹除了下面几个文件 其他删除 Img 文件夹,这个是主要是CSS样式在里面,所以保留,如果删除了,会造成发布文章时界面有点乱,所以要保留ad_js.php 这个文件时广告位,因为有些模板用到了后台调用广告位,如果你不确定,建议保留 Diy.php 这个是留言系统,有些模板上有用户在线留言功能,用到的就是这个,如果你不确定,...
cms 漏洞复现
最新发布
12-11
CMS(DedeCMS)是一款广泛使用的开源内容管理系统(CMS),由于其功能强大和使用便捷,受到了很多网站开发者的青睐。然而,CMS也存在一些安全漏洞,攻击者可以利用这些漏洞对网站进行攻击。以下是CMS常见漏洞的复现过程: ### 1. SQL注入漏洞 #### 漏洞描述 SQL注入是一种常见的攻击方式,攻击者通过在输入框中输入恶意的SQL语句,从而获取数据库中的敏感信息。 #### 复现步骤 1. **找到注入点**:在CMS中,常见的注入点包括搜索功能、文章ID等。 2. **构造注入语句**:例如,假设文章ID为`1`,可以尝试在URL中加入注入语句: ``` http://www.example.com/plus/view.php?aid=1 and 1=1 ``` 如果页面正常显示,说明存在SQL注入漏洞。 3. **获取数据库信息**:通过构造不同的SQL语句,可以逐步获取数据库的表名、字段名等信息。 ### 2. 文件上传漏洞 #### 漏洞描述 文件上传漏洞是指攻击者通过上传恶意文件(如脚本文件)来获取服务器的控制权。 #### 复现步骤 1. **找到上传点**:在CMS中,常见的上传点包括头像上传、附件上传等。 2. **构造恶意文件**:例如,构造一个包含PHP代码的图片文件: ```php <?php phpinfo(); ?> ``` 3. **上传文件**:将恶意文件上传到服务器。 4. **访问上传文件**:通过浏览器访问上传的文件URL,如果服务器执行了PHP代码,说明存在文件上传漏洞### 3. XSS漏洞 #### 漏洞描述 跨站脚本攻击(XSS)是指攻击者在网页中插入恶意脚本,从而窃取用户信息或进行其他恶意操作。 #### 复现步骤 1. **找到XSS点**:在CMS中,常见的XSS点包括搜索框、留言板等。 2. **构造XSS语句**:例如,在搜索框中输入以下代码: ``` <script>alert(&#39;XSS&#39;)</script> ``` 3. **提交查询**:如果页面弹出提示框,说明存在XSS漏洞### 防护措施 1. **及时更新**:及时更新CMS最新版本,修复已知漏洞。 2. **输入验证**:对用户输入进行严格验证,防止SQL注入和XSS攻击。 3. **文件验证**:对上传的文件进行严格验证,防止文件上传漏洞。 4. **安全配置**:配置Web服务器的安全选项,如禁用不必要的服务和功能。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值