dedecms频道封面的内容怎么修改？

开学了，返校了，又在宿舍上网了，但现在的校园网安全吗暑假中，DeDeCMS系统曝出了严重的漏洞，这个系统在很多学校的校园网中存在，黑客利用该漏洞就可以控制校园网，进行挂马、嵌入病毒……不过校园网中不乏电脑高手，下面我们就来看看“红帽”同学对自己学校网站的开学安全检测。

我的网名叫“红帽”，我猜每一个大学校园里，都有像我这样的一号人，我们对电脑充分的了解，面对互联网海洋时，就如同游泳池中的菲尔普斯一样。无论你需要找到什么东西，只要它存在于互联网之中，或者在互联网中生活过一段时间，我都能够帮助你找到源头，或者帮你把你感兴趣的东西弄到手。你猜对了，我就是黑客，活跃在校园里面的黑客。

我自认为算是高手，帮同学从别的黑客手里**回被窃的账号，在网吧让一个讨厌鬼不停的更换电脑，也曾经尝试着入侵NASA的计算机网络。

这段日子正是开学的日子，我准备对我的学校网站进行了一次安全检测。或许你要问，为什么要对自己学校的网站进行安全检测我们学校用了DeDeCMS系统(中文名称是织梦内容管理系统)，这个系统在很多学校中被使用。

博弈主题：攻击DeDeCMS整站系统

技术难度：★★★★

重点知识：如何用新的DeDeCMS漏洞来入侵

DeDeCMS系统被很多学校使用并不能让我产生检测自己学校的网站的念头，真正让我产生这个念头的原因是这个系统最近曝出了严重的漏洞，不知道网管补上该漏洞没有，如果没有补上，大家回校后上校园网就危险了。

DeDeCMS身藏URL编码漏洞

这次DeDeCMS新出的漏洞是一个URL编解码漏洞，导致漏洞出现的原因是DeDeCMS的设计者在joblistphp、guestbook_adminphp等文件中对orderby参数未做过滤。黑客可以利用这些漏洞查询数据库的敏感信息，例如管理员密码、加密key等，一旦这些敏感资料被黑客掌握，要在校园网内挂马就是轻而易举的事情了，真危险。

小知识：编码是将源对象内容按照一种标准转换为一种标准格式内容。解码是和编码对应的，它使用和编码相同的标准将编码内容还原为最初的对象内容。编解码的目的最初是为了加密信息，经过加密的内容不知道编码标准的人很难识别。

实战入侵

既然知道了漏洞的成因，下面就来亲手检测一下。目前有两种方案可以实现DeDeCMS整站系统的入侵，一种是PHP脚本的入侵方案，采用这种方案，需要先在自己的本机调试好PHP解析环境，然后登录入侵的目标网站，在PHP环境中运行漏洞测试代码。不过这种方案实行起来相对复杂，因此我使用第二种进行检测，通过漏洞检测注入程序直接注入。

首先，登录学校的网站。然后打开《DeDeCMS漏洞注入检测程序》，点击“Target

Infomation”标签选项，在“URL”一项后面将寻找到的有DeDeCMS系统漏洞的网址复制粘贴到地址输入框，这里利用DeDeCMS的网站路径地址“/include/htmledit/indexphp”得到网站的物理路径。

在登录系统之后，复制浏览器地址栏中的网站路径，例如[url=http://wwwhackercom/dedecms5/include/htmledit/indexphpmodetype=basic&height[]=chinaren]http://wwwhackercom/dedecms5/include/htmledit/indexphpmodetype=basic&height[]=chinaren[/url]，然后复制粘贴提交测试，粘贴完成后点击“Check”按钮，测试网站是否符合条件

include是DEDECMS的系统文件夹，里面放的是DEDECMS系统下的一些系统功能函数文件和功能定义与说明以及参数的文件。\x0d\include目录文件作用解析\x0d\arcarchivesclass 主文档类(Archives类)\x0d\arccaicaiclass 踩踩文档类\x0d\arcfreelistclass 自由列表类\x0d\arclistviewclass 文档列表类\x0d\arcmemberlistviewclass 会员列表视图类\x0d\arcpartviewclass 视图类\x0d\arcrssviewclass RSS视图类\x0d\arcsearchviewclass 搜索视图类\x0d\arcsglistviewclass 单表模型列表视图类\x0d\arcsgpageclass 单表模型视图类\x0d\arcspecviewclass 专题视图类\x0d\arctaglistclass Tag列表类\x0d\channelunitclass 频道模型单元类\x0d\commonfunc 系统核心函数存放文件\x0d\commoninc 系统变量定义文件\x0d\datalistcpclass 动态分页类\x0d\typelinkclass 栏目连接\x0d\userloginclass 管理员登陆类\x0d\vdimgck 验证码\x0d\typeunitclassadmin 栏目单元,主要用户管理后台管理处\x0d\typeunitclassmenu 栏目单元,主要用户管理后台管理菜单处\x0d\typeunitclassselector 栏目单元,选择框\x0d\uploadsafeinc 防止用户通过注入，强制限定的某些文件类型禁止上传\x0d\dedeattclass 属性的数据描述\x0d\dedecollectionclass Dede采集类\x0d\dedecollectionfunc 采集小助手\x0d\dedehtml2class 织梦HTML解析类V16 PHP版，针对于采集程序，主要是获取某区域内的、超链接等信息\x0d\dedehttpdownclass 织梦HTTP下载类\x0d\dedemoduleclass 织梦模块类\x0d\dedesqlclass 数据库类，系统底层数据库核心类\x0d\dedesqliclass 数据库类\x0d\dedetagclass Dede织梦模板类\x0d\dedetemplateclass 模板引擎文件\x0d\dedevoteclass 投票类\x0d\diyformcls 自定义表单解析类

一共是两大步，

首先是常规选项。常规选项中需要改动的地方不大，除了栏目标题和路径，其他的完全可以不改。

修改栏目的常规选项

可以选择为频道封面

　　当然，因为单页类栏目本身是不用发表文章的，所以栏目属性使用“频道封面”倒是似乎更加贴切一些，以后更新的时候可以一目了然。

　　其实不进行修改也是可以的，因为这里并不关键，关键的是下面的高级选项的设置。

　　其次是高级选项。高级选项中，有设置模板的地方。这里就需要注意了，因为不管是我们选用“频道封面”还是“最终栏目列表”，其默认的模板都是无法实现我们要制作的单页内容的，那么我们就需要自定义一个模板。假设我们使用singllepagehtm来实现单页面的调用，那么我们就需要对其模板进行设置，如果是选频道封面就修改频道封面，反之则修改最终栏目列表。以“最终栏目列表”为例，如图：

高级选项中修改模板设置

　　最后是栏目内容。栏目内容，就是我们实现动态更新的栏目内容了。我们看到，dedeCMS提示我们栏目内容是替代原来栏目单独页的更灵活的一种方式，可在栏目模板中用{dede:fieldcontent/}调用，通常用于企业简介之类的用途，所以我们只要在这里添加企业简介之类的内容，就可以了。而不用笨拙的去修改静态页面。

　　一切妥当之后，我们进行第二大步——修改singlepagehtm模板。

　　修改模板很简单，我们找到templets路径下相应模板分类的singlepagehtm，然后我们对其进行编辑，我们看到，原始的singlepagehtm是调用的{dede:fieldbody/}这里是调用普通文章的内容，我们要做单页模板，只要修改调用的地方为{dede:fieldcontent/}就完事大吉了。

修改模板的调用内容

　　我们看到还有个相关页面，这里我们弃之不用倒显得浪费了。

可以利用起来的相关页面

　　我们也可以对其进行一番改造，调用处相关的一些单页类的栏目来起到增加内链的作用。调用很简单，假设我们企业简介的ID为1，其他单页类栏目ID分别为2、3、4的话，我们可以这样写来实现这些栏目的调用：

　　{dede:channelartlist typeid='9,12'}

　　{dede:type}

　　[field:typename/]

　　{/dede:type}

　　{/dede:channelartlist}

　　保存，生成栏目就可以看到效果了。当然默认的模板是有些寒酸，不过我们可以自己制作模板让其更加美观一些，那就看你CSS运用的怎么样了！我们看一个效果比较美观的：

通过栏目内容调用的单页面

　　如果你有更好的方法来制作可以动态更新的单页的话，欢迎大家留言板留言，本站感激之至。

　　好今天的dede每日一课就到这里，欢迎大家关注其他的中国SEO的dede建站每日一课的内容。同时，我们热烈欢迎会员和学员投稿，具体的投稿方式为，先注册会员，然后点击发布文章即可，如果通过审核发布成功，本站将会有小礼品相送哦！~

织梦后台-系统-还原备份数据库

如果无法访问，建议检查一下后台的执行权限

检查一下后台文件是否完整无错

另外，织梦的data文件夹需要写入权限才能正常备份哦

一般是你网站程序有漏洞才会被挂马的，有些木马代码直接隐藏在DEDECMS的主程序里。建议你找专业做网站安全的sinesafe来给你解决。

建站一段时间后总能听得到什么什么网站被挂马，什么网站被黑。好像入侵挂马似乎是件很简单的事情。其实，入侵不简单，简单的是你的网站的必要安全措施并未做好。

有条件建议找专业做网站安全的sine安全来做安全维护。

一：挂马预防措施：

1、建议用户通过ftp来上传、维护网页，尽量不安装asp的上传程序。

2、定期对网站进行安全的检测，具体可以利用网上一些工具，如sinesafe网站挂马检测工具！

序，只要可以上传文件的asp都要进行身份认证!

3、asp程序管理员的用户名和密码要有一定复杂性，不能过于简单，还要注意定期更换。

4、到正规网站下载asp程序，下载后要对其数据库名称和存放路径进行修改，数据库文件名称也要有一定复杂性。

5、要尽量保持程序是最新版本。

6、不要在网页上加注后台管理程序登陆页面的链接。

7、为防止程序有未知漏洞，可以在维护后删除后台管理程序的登陆页面，下次维护时再通过ftp上传即可。

8、要时常备份数据库等重要文件。

9、日常要多维护，并注意空间中是否有来历不明的asp文件。记住：一分汗水，换一分安全!

10、一旦发现被入侵，除非自己能识别出所有木马文件，否则要删除所有文件。

11、对asp上传程序的调用一定要进行身份认证，并只允许信任的人使用上传程序。这其中包括各种新闻发布、商城及论坛程

二：挂马恢复措施：

1修改帐号密码

不管是商业或不是，初始密码多半都是admin。因此你接到网站程序第一件事情就是“修改帐号密码”。帐号

密码就不要在使用以前你习惯的，换点特别的。尽量将字母数字及符号一起。此外密码最好超过15位。尚若你使用

SQL的话应该使用特别点的帐号密码，不要在使用什么什么admin之类，否则很容易被入侵。

2创建一个robotstxt

Robots能够有效的防范利用搜索引擎窃取信息的骇客。

3修改后台文件

第一步：修改后台里的验证文件的名称。

第二步：修改connasp，防止非法下载，也可对数据库加密后在修改connasp。

第三步：修改ACESS数据库名称，越复杂越好，可以的话将数据所在目录的换一下。

4限制登陆后台IP

此方法是最有效的，每位虚拟主机用户应该都有个功能。你的IP不固定的话就麻烦点每次改一下咯，安全第一嘛。

5自定义404页面及自定义传送ASP错误信息

404能够让骇客批量查找你的后台一些重要文件及检查网页是否存在注入漏洞。

ASP错误嘛，可能会向不明来意者传送对方想要的信息。

6慎重选择网站程序

注意一下网站程序是否本身存在漏洞，好坏你我心里该有把秤。

7谨慎上传漏洞

据悉，上传漏洞往往是最简单也是最严重的，能够让黑客或骇客们轻松控制你的网站。

可以禁止上传或着限制上传的文件类型。不懂的话可以找专业做网站安全的sinesafe公司。

8 cookie 保护

登陆时尽量不要去访问其他站点，以防止 cookie 泄密。切记退出时要点退出在关闭所有浏览器。

9目录权限

请管理员设置好一些重要的目录权限，防止非正常的访问。如不要给上传目录执行脚本权限及不要给非上传目录给于写入权。

10自我测试

如今在网上黑客工具一箩筐，不防找一些来测试下你的网站是否OK。

11例行维护

a定期备份数据。最好每日备份一次，下载了备份文件后应该及时删除主机上的备份文件。

b定期更改数据库的名字及管理员帐密。

c借WEB或FTP管理，查看所有目录体积，最后修改时间以及文件数，检查是文件是否有异常，以及查看是否有异常的账号。

网站被挂马一般都是网站程序存在漏洞或者服务器安全性能不达标被不法黑客入侵攻击而挂马的。

网站被挂马是普遍存在现象然而也是每一个网站运营者的心腹之患。

您是否因为网站和服务器天天被入侵挂马等问题也曾有过想放弃的想法呢，您否也因为不太了解网站技术的问题而耽误了网站的运营，您是否也因为精心运营的网站反反复复被一些无聊的黑客入侵挂马感到徬彷且很无耐。有条件建议找专业做网站安全的sine安全来做安全维护。

这个问题我来回答你，因为说实话我就是做这个事的。

首先，确定你的织梦搭建完毕，并且可以运行。

（2）比如你想用这个模板，做index的模板，那么你就找到织梦首页模板（他叫indexhtm，记住是htm不是html）一般都在templete/defualt下面。templete这个文件夹就是装模板的。

（3）找到这个模板以后，把他改名成为index（原文件备份）htm，然后暂且放在一边。把你的模板html的代码全都以utf-8或者gbk的方式粘进去（这要看你织梦是什么版本）。

（4）按照我发给你的手册，去改调用。根据对应栏目（typeid），或者根据标签（flag），缩略图的标签叫[ litpic]，文章标题叫[title],短标题叫[shorttitle]，这些对应字段去内容模型里找。增加附加字段是addfields=‘附加字段名’ chinnelid=‘模型号’。

（5）模板一定要是htm格式的（织梦BUG），此外删掉你的文件管理器以及后台的数据库工具，织梦有BUG，可以被注入垃圾文件。

光看标题了，你说怎么做会员是吧，织梦的会员是一大套程序，不过不是很好用，建议直接连dz的ucenter，至于织梦会员的界面，其实也是模板，在织梦里应该叫menber什么的