为什么大家都说织梦dedecms不安全?
很高兴为您解答:
这个可能是你电脑的安全性能太低了
你可以使用腾讯电脑管家,开启安全防护啊
1、腾讯电脑管家独有的二代反病毒引擎,防护查杀更彻底
2、腾讯电脑管家拥有全球最大的云库平台,能更好的识别诈骗、钓鱼网站
3、腾讯电脑管家独创鹰眼模式,时刻保护您的爱机不受侵害
4、腾讯电脑管家独有的安全等级,您可以时刻查看你爱机的安全状态
5、新增广告过滤功能,有效减轻广告骚扰。
祝楼主祝您工作、生活愉快!!
用户名,密码复杂性,即使hack拿到密码也不容易逆转破解;后台目录务必重命名,越复杂最好;关注官方网站,跟相应的杀毒软件,定时修补补丁,定时查杀多余php文件;
后台设置,删除多余会员,关闭会员功能,系统基本参数-会员设置,互动设置等限制;
精简设置,不需要的功能都删掉,每个目录下加一个空的indexhtml,防止目录被访问;可删除的功能:member,special,install(必删),company(企业模块),plus\guesbook留言板等一般用不上的功能;
可以删除不必要但容易受攻击的文件(再文件夹下搜索即可):file_manage_controlphp,file_manage_mainphp,file_manage_viewphp,media_addphp,media_editphp,media_mainphp,downloadphp(没有下载功能),feedbackphp(评论功能)这些文件是后台文件管理器(这俩个功能最多余,也最影响安全,许多HACK都是通过它来挂马的。它简直就是小型挂马器,上传编辑木马忒方便了。一般用不上统统删除) 。
不需要SQL命令运行器的将dede/sys_sql_queryphp 文件删除。避免HACK利用。
不需要tag功能请将根目录下的tagphp删除。不需要顶客请将根目录下的diggphp与diggindexphp删除。
为了防止HACK利用发布文档,上传木马。请安装完成后阻止上传PHP代码。到此基本堵上了所有上传与编辑木马的可能性。(在50以上的版本本身已经作好修改了,这点经测试比较过的)
织梦权限设置,
1>include,plus,member等附加组件 可读取 不可写入 执行脚本(纯脚本)
data、templets、uploads,images 可读写 不可执行(执行权限无)
2>设置iis权限,去掉user权限,自己设置一个权限;目录设置、不允许执行脚本:
织梦关闭自定义表单前台预览,删除友情链接申请功能;网站提交登陆一定要有验证码,防止hack暴力破解,提交。
也可以使用第三方安全插件:如360网站卫士,DedeCms万能安全防护代码等也可以使用织梦自带的木马查杀攻击:系统—病毒扫描—开始扫描,删除织梦系统以为的php文件;
实际任何程序都有漏洞 只不过用织梦的人比较多 windows系统每天还那么多漏洞恩!
你百度一下“织梦DedeCMS实用技巧-八大安全措施”这篇文章介绍如果防止黑客攻击织梦系统,青龙建站教程自学网建议你网站装上百度云加速, 这样能够更有效的防止黑客攻击!
phpcms优点:
1模块化安装,非常适合安装,拆卸,和拿到市场上去交易非常方便的。
2灵活的标签语法,非常强大。
3缓存做的非常优秀。几乎支持目前主流的几大缓存系统解决方案,file缓存,eaelerator缓存,memcache缓存,shmop缓存等
4安全性也不错的。后台为了防范入侵,采用了cookie和session同时存在验证技术,才可以安全进入后台。
多次登录失败,开启验证码功能。防止机器人频繁猜口令。
5数据库。在根目录下的include目录下,db_aessphpdb_mssqlphpdb_mysqlphp等,就照着他的方法,在增加几个也没问题的。
6兼容性。是在php4的基础上开发的,所以向下兼容性是不错的。在include/globalfuncphp这个文件可以看到很多if(!function_exist()){},这些代码就是为了兼容php4相关函数。
phpcms缺点:
1后台对应的模块的功能列表url,从数据库中读取的,也即是,安装的时候,将url写入数据库了。这个如果二次开发要修改的话,不是很方便的,最好是写到文件中,读取文件内容,方便开发者开发,而且也更容易维护,如果是出于安全考虑的话,不妨加下密也可以的。
2分部式。后台的某些功能模块,还是要调用各个应用模块的admin部分,相关*.inc.php文件.如果我要把其中某个模块或应用独立出去部署到其他的服务器上,就不方便了。
3数据库设计问题,后台开设模型时,表的引擎只能是myIsam,而不能选择其他的,字段的类型,比如要开设一个字段为number,类型为int,但是在新增加的模型表中还是以varchar出现,而不是int,长度是默认的255modelfiled表,才发现该系统是将类型写到该表中了。
4加密/解密程序。目前已经在想相关安全网站已被爆以破解。这也不是什么新闻了。在开发中,关注下相关安全厂商发布的漏洞。
5数据库抽象层。就以上提到的几个数据库文件。db_mssqlphpdb_mysqlphpdb_aessphp等对于数据库分布式,应该没问题的。数据库抽象层处理数据比较快,且快平台更容易且更容易维护,这个是需要考虑的。
Dedecms功能实用,模板功能使用简单。
开学了,返校了,又在宿舍上网了,但现在的校园网安全吗暑假中,DeDeCMS系统曝出了严重的漏洞,这个系统在很多学校的校园网中存在,黑客利用该漏洞就可以控制校园网,进行挂马、嵌入病毒……不过校园网中不乏电脑高手,下面我们就来看看“红帽”同学对自己学校网站的开学安全检测。
我的网名叫“红帽”,我猜每一个大学校园里,都有像我这样的一号人,我们对电脑充分的了解,面对互联网海洋时,就如同游泳池中的菲尔普斯一样。无论你需要找到什么东西,只要它存在于互联网之中,或者在互联网中生活过一段时间,我都能够帮助你找到源头,或者帮你把你感兴趣的东西弄到手。你猜对了,我就是黑客,活跃在校园里面的黑客。
我自认为算是高手,帮同学从别的黑客手里**回被窃的账号,在网吧让一个讨厌鬼不停的更换电脑,也曾经尝试着入侵NASA的计算机网络。
这段日子正是开学的日子,我准备对我的学校网站进行了一次安全检测。或许你要问,为什么要对自己学校的网站进行安全检测我们学校用了DeDeCMS系统(中文名称是织梦内容管理系统),这个系统在很多学校中被使用。
博弈主题:攻击DeDeCMS整站系统
技术难度:★★★★
重点知识:如何用新的DeDeCMS漏洞来入侵
DeDeCMS系统被很多学校使用并不能让我产生检测自己学校的网站的念头,真正让我产生这个念头的原因是这个系统最近曝出了严重的漏洞,不知道网管补上该漏洞没有,如果没有补上,大家回校后上校园网就危险了。
DeDeCMS身藏URL编码漏洞
这次DeDeCMS新出的漏洞是一个URL编解码漏洞,导致漏洞出现的原因是DeDeCMS的设计者在joblistphp、guestbook_adminphp等文件中对orderby参数未做过滤。黑客可以利用这些漏洞查询数据库的敏感信息,例如管理员密码、加密key等,一旦这些敏感资料被黑客掌握,要在校园网内挂马就是轻而易举的事情了,真危险。
小知识:编码是将源对象内容按照一种标准转换为一种标准格式内容。解码是和编码对应的,它使用和编码相同的标准将编码内容还原为最初的对象内容。编解码的目的最初是为了加密信息,经过加密的内容不知道编码标准的人很难识别。
实战入侵
既然知道了漏洞的成因,下面就来亲手检测一下。目前有两种方案可以实现DeDeCMS整站系统的入侵,一种是PHP脚本的入侵方案,采用这种方案,需要先在自己的本机调试好PHP解析环境,然后登录入侵的目标网站,在PHP环境中运行漏洞测试代码。不过这种方案实行起来相对复杂,因此我使用第二种进行检测,通过漏洞检测注入程序直接注入。
首先,登录学校的网站。然后打开《DeDeCMS漏洞注入检测程序》,点击“Target
Infomation”标签选项,在“URL”一项后面将寻找到的有DeDeCMS系统漏洞的网址复制粘贴到地址输入框,这里利用DeDeCMS的网站路径地址“/include/htmledit/indexphp”得到网站的物理路径。
在登录系统之后,复制浏览器地址栏中的网站路径,例如[url=http://wwwhackercom/dedecms5/include/htmledit/indexphpmodetype=basic&height[]=chinaren]http://wwwhackercom/dedecms5/include/htmledit/indexphpmodetype=basic&height[]=chinaren[/url],然后复制粘贴提交测试,粘贴完成后点击“Check”按钮,测试网站是否符合条件
首先可以明确的告诉你,DedeCMS的0day漏洞很多,而且也有一年多时间没有维护了。所以网上“流传”DedeCMS不安全、漏洞多是真实的情况,但这也洽洽说明dedecms在以前的确很火。
DedeCMS后台功能上是很齐全的,而且操作起来简单,用来二次开发也比较容易,所以在前几年受到不少套网站的程序员的热爱。正因为如此,再加上它是开源的,所以不少人发现漏洞后就开始攻击基于这款CMS的网站,每次一曝出漏洞,受到影响的网站很多。
考虑到现在官方也没维护了,所以建议大家选择其它CMS,比如PHPCMS在安全性上就给DedeCMS要好得多;而且现在PHP版本都比较高了,DedeCMS在这些高版本的PHP环境下运行会存在一些兼容性问题。
如果你的网站现在用的就是DedeCMS那建议作好安全加固措施,比如:
若网站没有交互,可以全站生成静态页,然后静态页单独部署,将后台和前台分离,这样别人无法攻击动态脚本;
源码目录权限严格控制,避免权限过大导致的非法文件可以上传或者可执行。
综上,DedeCMS不建议选择。
360发布通用php防护代码,其实最初是协助phpcms来防护安全用的,现在看来可以加入到任何有漏洞的网站里面,拿phpcmsv9问题,解决方案如下,其他网站以此类推!
1将360_safe3php传到要包含的文件的目录
2在页面中加入防护,有两种做法,根据情况二选一即可:
a)在所需要防护的页面加入代码
require_once('360_safe3php');
就可以做到页面防注入、跨站
如果想整站防注,就在网站的一个公用文件中,如数据库链接文件configincphp中!
添加require_once('360_safe3php');来调用本代码
常用php系统添加文件
PHPCMS V9 \phpcms\basephp
PHPWIND87 \data\sql_configphp
DEDECMS57 \data\commonincphp
DiscuzX2 \config\config_globalphp
Wordpress \wp-configphp
Metinfo \include\headphp
b)在每个文件最前加上代码
在phpini中找到:
Automatically add files before or after any PHP document
auto_prepend_file = 360_safe3php路径;
0条评论