最新织梦cms漏洞之安全设置,有效防护木马(更新至20190920)

织梦CMS在安装完成后,新人往往会直接开始开发使用,忽视了一些安全优化的操作,这样会导致后期整个系统安全系数降低,被黑或者被注入的概率极高,毕竟这世界百分百存在着极多的无聊hacker对全网的网站进行扫描,扫到你这个菜站,尤其是使用率极高的DEDECMS,对你的站点下手的欲望更高,所以在开发前做好安全防范还是很有必要的!

安全设置前:备份网站文件及数据库

系统安全优化设置之前,做好备份工作。

安全设置一:删文件

安装完成后会有一些文件,可以说是冗余文件,完全没有作用,反而带来被黑的危险,删除即可,以下目录文件均可删除:

目录 删除原因
/install 安装后的余留文件,没用,整个文件夹删除
/member 会员功能文件,大数企业站没用,文件夹删除,若需要会员功能的就不能删
/special 专题功能,如果你不需要这个功能,文件夹删除,需要就别删,大部分是不需要的
/tags.php TAG标签,没有此功能可删除
网站后台目录dede要删除的文件 删除原因
/dede/tpl.php 文件上传管理系统文件,易被挂马,强烈建议删除或者不用时请改名(tpl备用.php)
/dede/templets_*.php 模板管理功能,老手建议删除,使用FTP管理
/dede/media_*.php 附件数据管理功能文件,易被挂马,删除(用你的FTP管理文件就可以了,别用这个)
/dede/file_*.php 文件式管理器功能控制器文件,易被挂马,删除(用你的FTP管理文件就可以了,别用这个)
/dede/mytag_*.php、mytag_tag_*.php 自定义标记管理,易被上传一句话木马
/dede/story_*.php 小说功能,可删除
/dede/erraddsave.php 纠错功能,可删除
/dede/f
CMS(DedeCMS)是一款广泛使用的开源内容管理系统(CMS),由于其功能强大和使用便捷,受到了很多网站开发者的青睐。然而,CMS也存在一些安全漏洞,攻击者可以利用这些漏洞对网站进行攻击。以下是CMS常见漏洞的复现过程: ### 1. SQL注入漏洞 #### 漏洞描述 SQL注入是一种常见的攻击方式,攻击者通过在输入框中输入恶意的SQL语句,从而获取数据库中的敏感信息。 #### 复现步骤 1. **找到注入点**:在CMS中,常见的注入点包括搜索功能、文章ID等。 2. **构造注入语句**:例如,假设文章ID为`1`,可以尝试在URL中加入注入语句: ``` http://www.example.com/plus/view.php?aid=1 and 1=1 ``` 如果页面正常显示,说明存在SQL注入漏洞。 3. **获取数据库信息**:通过构造不同的SQL语句,可以逐步获取数据库的表名、字段名等信息。 ### 2. 文件上传漏洞 #### 漏洞描述 文件上传漏洞是指攻击者通过上传恶意文件(如脚本文件)来获取服务器的控制权。 #### 复现步骤 1. **找到上传点**:在CMS中,常见的上传点包括头像上传、附件上传等。 2. **构造恶意文件**:例如,构造一个包含PHP代码的图片文件: ```php <?php phpinfo(); ?> ``` 3. **上传文件**:将恶意文件上传到服务器。 4. **访问上传文件**:通过浏览器访问上传的文件URL,如果服务器执行了PHP代码,说明存在文件上传漏洞### 3. XSS漏洞 #### 漏洞描述 跨站脚本攻击(XSS)是指攻击者在网页中插入恶意脚本,从而窃取用户信息或进行其他恶意操作。 #### 复现步骤 1. **找到XSS点**:在CMS中,常见的XSS点包括搜索框、留言板等。 2. **构造XSS语句**:例如,在搜索框中输入以下代码: ``` <script>alert(&#39;XSS&#39;)</script> ``` 3. **提交查询**:如果页面弹出提示框,说明存在XSS漏洞### 防护措施 1. **及时更新**:及时更新CMS最新版本,修复已知漏洞。 2. **输入验证**:对用户输入进行严格验证,防止SQL注入和XSS攻击。 3. **文件验证**:对上传的文件进行严格验证,防止文件上传漏洞。 4. **安全配置**:配置Web服务器的安全选项,如禁用不必要的服务和功能。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值