如何防止黑客利用新的DeDeCMS漏洞入侵

dede是织梦内容管理系统dedecms的简称， 以简单、实用、开源而闻名，是国内最知名的PHP开源网站管理系统，也是使用用户最多的PHP类CMS系统，系统作者仅有一人，却做出如此功能的cms。最新的版本无论在功能，还是易用性方面，都有了长足的发展。

《帝国网站管理系统》英文译为"Empire CMS"，简称"Ecms"，它是基于B/S结构，且功能强大而帝国CMS-logo易用的网站管理系统。本系统由帝国开发工作组独立开发，是一个经过完善设计的适用于Linux/windows引/Unix等环境下高效的网站解决方案。从帝国新闻系统10版至今天的帝国网站管理系统，它的功能进行了数次飞跃性的革新，使得网站的架设与管理变得极其轻松！

dedecms做到中型网站还算可以!但是到上千万级别,如果没有点技术,就会出现这个问题或那个问题!

综合来说,还是帝国cms强大一点!

仿《当下软件园》 帝国cms75内核免费下载

dg4n

《帝国网站管理系统》英文译为"Empire CMS"，简称"Ecms"，它是基于B/S结构，且功能强大而帝国CMS-logo易用的网站管理系统。本系统由帝国开发工作组独立开发，是一个经过完善设计的适用于Linux/windows引/Unix等环境下高效的网站解决方案。从帝国新闻系统10版至帝国网站管理系统，它的功能进行了数次飞跃性的革新，使得网站的架设与管理变得极其轻松！

开学了，返校了，又在宿舍上网了，但现在的校园网安全吗暑假中，DeDeCMS系统曝出了严重的漏洞，这个系统在很多学校的校园网中存在，黑客利用该漏洞就可以控制校园网，进行挂马、嵌入病毒……不过校园网中不乏电脑高手，下面我们就来看看“红帽”同学对自己学校网站的开学安全检测。

我的网名叫“红帽”，我猜每一个大学校园里，都有像我这样的一号人，我们对电脑充分的了解，面对互联网海洋时，就如同游泳池中的菲尔普斯一样。无论你需要找到什么东西，只要它存在于互联网之中，或者在互联网中生活过一段时间，我都能够帮助你找到源头，或者帮你把你感兴趣的东西弄到手。你猜对了，我就是黑客，活跃在校园里面的黑客。

我自认为算是高手，帮同学从别的黑客手里**回被窃的账号，在网吧让一个讨厌鬼不停的更换电脑，也曾经尝试着入侵NASA的计算机网络。

这段日子正是开学的日子，我准备对我的学校网站进行了一次安全检测。或许你要问，为什么要对自己学校的网站进行安全检测我们学校用了DeDeCMS系统(中文名称是织梦内容管理系统)，这个系统在很多学校中被使用。

博弈主题：攻击DeDeCMS整站系统

技术难度：★★★★

重点知识：如何用新的DeDeCMS漏洞来入侵

DeDeCMS系统被很多学校使用并不能让我产生检测自己学校的网站的念头，真正让我产生这个念头的原因是这个系统最近曝出了严重的漏洞，不知道网管补上该漏洞没有，如果没有补上，大家回校后上校园网就危险了。

DeDeCMS身藏URL编码漏洞

这次DeDeCMS新出的漏洞是一个URL编解码漏洞，导致漏洞出现的原因是DeDeCMS的设计者在joblistphp、guestbook_adminphp等文件中对orderby参数未做过滤。黑客可以利用这些漏洞查询数据库的敏感信息，例如管理员密码、加密key等，一旦这些敏感资料被黑客掌握，要在校园网内挂马就是轻而易举的事情了，真危险。

小知识：编码是将源对象内容按照一种标准转换为一种标准格式内容。解码是和编码对应的，它使用和编码相同的标准将编码内容还原为最初的对象内容。编解码的目的最初是为了加密信息，经过加密的内容不知道编码标准的人很难识别。

实战入侵

既然知道了漏洞的成因，下面就来亲手检测一下。目前有两种方案可以实现DeDeCMS整站系统的入侵，一种是PHP脚本的入侵方案，采用这种方案，需要先在自己的本机调试好PHP解析环境，然后登录入侵的目标网站，在PHP环境中运行漏洞测试代码。不过这种方案实行起来相对复杂，因此我使用第二种进行检测，通过漏洞检测注入程序直接注入。

首先，登录学校的网站。然后打开《DeDeCMS漏洞注入检测程序》，点击“Target

Infomation”标签选项，在“URL”一项后面将寻找到的有DeDeCMS系统漏洞的网址复制粘贴到地址输入框，这里利用DeDeCMS的网站路径地址“/include/htmledit/indexphp”得到网站的物理路径。

在登录系统之后，复制浏览器地址栏中的网站路径，例如[url=http://wwwhackercom/dedecms5/include/htmledit/indexphpmodetype=basic&height[]=chinaren]http://wwwhackercom/dedecms5/include/htmledit/indexphpmodetype=basic&height[]=chinaren[/url]，然后复制粘贴提交测试，粘贴完成后点击“Check”按钮，测试网站是否符合条件

乔客挺不错

wwwjoekoecom

=== Asp ===

风讯 官方网站：http://wwwfoosuncn/

风讯的系统功能强大，自由度高，是现在人气比较高的系统之一，可以根据自己的想法做出一个网页从而建立一个有自我风格的网站，更新速度快，一直有新的版本出现，现在又开放采集、下载、投稿、整站管理系统，第三方整合等功能，开源是它最大特点，希望保持。然后缺点就是后台人性化差了一点，上手有点难度，而且连一套默认的模板都没有，因为自由度太高了，让一些新手更难上手，还有就是免费版的生成静态发布的效率不高。31已经出来一段时间了，愿各方面都更上一层楼。

新云网站管理系统 官方http://wwwnewaspcn/

一款Asp的CMS后起之秀，发现有不少的网站都在使用。由文章、下载、商城、留言、用户管理五大功能模块和广告、公告、连接、统计、采集、模板管理、数据库管理等多个通用模块组成，而且功能确实有一些值得称道的地方，不过又是DLL的，免费版有不少的限制，但对一个简单基本的网站来说，功能够用了。

乔客(asp) 官方网站：http://wwwjoekoecom/

这个系统已经很久了，但好像一直存活在动易和风讯两者之间，现在30的Joekoe CMS出来了，但另我比较失望，相比免费版的12，功能是增强了，但也Dll，这个可能也是国产程序的一个特色罢了。它本身已经是一个融合度非常高的系统，有商城，新闻，下载，论坛，留言，影视，博客圈等，感觉有那么点WEB20 的味道,，不想怎么修改的朋友直接拿去就可以用了。

NB文章系统(asp) 官方：http://forumnbarticlecom/defaultasp

现在最新的是v21 RC1 ，上手挺容易，后台很简洁，安全性能不错，发布效率比较高，当然想到同类型的，RSS不错，它也是将模板写入数据库，但修改还是蛮方便。不过这样相对来说功能是少了一些，而且官方就一个论坛技术支持，论坛的人气差了一点。

渐飞新闻出版系统(asp) 官方网站： http://wwwxuntnet/

这个系统也有一段时日了，不过到现在还是11的版本，以前名头特别响，

不过主要针对的是商业客户，看客户演示，个个都像门户，但因为没免费版的支撑，市场也一直没做大。

大世纪(Asp) 官方网站：http://wwwbigcnnet/

很老的系统，差不多就算是个文章，新闻系统，

现在连官方都打不开了，这样的估计也没多少前景。

tsys信息发布系统 官方：http://wwwtsyschinacom

非常遗憾 20刚刚出测试版，作者就好像人间蒸发一样消失了！不过对于一个免费开源，没有版权的CMS来说我们也没有什么可要求的！抛开强大，但可能不成熟（我没用过）的20不谈！单说11版！从 11就可以说他是ASP CMS中的老大了！在TSYS的各个版本中均没有出现过重大的安全漏洞而且对于目前11来说已经是很完善成熟的了！tsys和一般的Asp 的CMS不一样！他的功能并非由本身而定！而是根据使用者的能力而定！使用者越厉害 TSYS本身也可以变的更厉害！因为TSYS可以说是一个核心！而其他的东西和功能均需要使用者自己搞定！从这点来说！TSYS的功能可以说是无限的！但这也决定了TSYS不会流行起来！说白了只有高手使用TSYS才能把TSYS的优点发挥的淋漓尽致！可惜啊

说到php的CMS，也跟Asp差不多，可以算是百花齐放。

PhpArtile 官方：http://www21dsnet/

这个算是国内phpCms的祖宗了，PA由 PHP 语言开发, 使用 MySQL 数据库保存数据 ,

为中小型网站发表文章, 存放资料, 新闻发布提供一个完美的解决方案。

做了好几年了，30迟迟还在开发中，今年出了21火了一阵，又熄灭了，以前用的人挺多的，

现在基本上没落了

phpcms 官方：http://wwwphpcmscn/

好像以前是9466Article的官方，本来9466做得挺好的，不知为什么突然zend加密了，

继承了9466的优点，上手，结构，提供插件接口，可自主开发插件，自主制作语言包，

自主设计模板风格，免费版可永久使用，功能还可以。

OKphp http://cnokphpcom

同样加密的，免费版也不见怎么有人用，系统倒是开发了好久了，整合了论坛，blog，新闻，

分有企业版，门户版，还有免费的，看起来像老外的Nuke，个人感觉没多少特别之处。

美丽心雨 官方：http://wwwxydwcom/

美丽心雨CMS是心雨动网独立开发制作的网站管理系统，基本上网站管理的功能有了，

从101到现在的14，官方的开发人员也一直在努力中。

DedeCMS 官方：http://dedecmscom/

这是一套令人爱憎分明的系统，首先它是国内一款开源的系统，2x的时候功能都已经另它的fans为之疯狂，

非常灵活的定制，强大的功能，简洁的操作，但2x的瓶颈问题：大数据处理，到30的时候可能会解决，

但30的一直跳票，迟迟不见发布，另很多人都非常失望，希望能在30的时候看到一个全新的Dedecms，

当然也支持开源产品。

Ss-cms 官方：http://wwwss-cmscom/

作者我见过，一个非常有活力的家伙，程序跟他一样，国产的开源系统，

生成静态，信息采集，文章和下载集成，

但作者都是出于兴趣爱好开发，10出来后就不见踪影了，好像现在在搞书库

随意Cmsez CMS 官方：http://wwwcmsezcom/

程序的作者和Ss-cms的作者是好朋友，他也是出于个人爱好做这个，而且主要面向企业用户，

Cmsez集成了丰富的功能模块，http://wwwcolorbirdcom/（七色 型客户，

看七色鸟，你或许可以知道他的作品如何了。

CMSware 官方：http://wwwcmswarecom/

一个非常不错的CMS系统，比较看好的他的后台操作简介，一些新技术，比如Ajax的应用，Wap的功能，

还有它的PSN的发布，节点和模块的定制，，自定义模型，数据库字段，

率先引进的工作流的概念，更多的发布自由度，非常强大的模板体系，

确实处处体现了自由的思想，让您体验自由管理的非凡感受

Ecms 帝国网站管理系统 官方：http://wwwphomenet/

可以说这个是最让我值得写的东西，作者wm_chief是个超人，偶像啊

官方的title里面是 在这里只有原创，那家伙也是疯子，

比如数据库管理，论坛，新闻，下载，flash，域名交易系统等，

还包括JSP的版本，都是自己一个人写，还有一个人搞定后期服务，客户支持，产品宣传。

还要每天抽时间灌水AD，ECMS的功能非常多，包括下载，flash，商城，，新闻，友情链接，广告管理等，

比如一些远程发布，刷新效率，类别管理，权限细分，万能的论坛接口，信息采集，附件管理等这些都是Ecms特别的亮点，

而且免费版也不错，作者WC也非常虚心接受客户的建议，

基本上任何一个小的功能，都力求做到最好，

他明白用户的需求，一切能从用户本身出发的系统才是好的系统，

36已经出来了，而且下一个版本可能会结合EXE软件发布，刷新的功能，让我们拭目以待。

ecms的典型客户 wwwchinahtmlcom

Net

动网新闻(aspnet)

最新的4X也出来了，也是DLL的，不过系统是NET的，不过我个人不趋向使用DLL的系统，

运行速度快，效率高，安全做足。

不过以前3X的没有Dll，感觉也蛮好的，

缺点就是风格改起来不容易。

现在加密了，反而能更快上手，不过这样可以定制的地方就少了。

还有一个倒奶CMS，也是net的，不见什么特别之处，一笔带过

JSP

大概有这些：

Netark CMS

方正翔宇CMS

开源的Magnolia

Magnolia CMS

不过JSP的应用门槛对我们个人用户来说，有点高，也不想多提

当然还有一些系统比如说，Asp的国产FeitecCMS ，WpsCms等，国外的FullXML，php的国产有MePhp，天下站长php等，

都没见多少特色，不用也罢。

TurboCMS 这样只面向企业用户，几十万的系统，我们也不用考虑。

Struts中文版，Spring 开源系统，Gpower CMS，还有Java的 Ion，opencms，Jboss Nuke等老外做的，

国外的php的比如phpnuke，phppost，还有非常昂贵的phpcow，Bitrix Site Manager-CMS(99)，

比较廉价的Subdreamer，koobi CMS，ActiveKB团队的ArticleLive NX，newsphp

还有免费的Xoops，功能繁多的玩意，Mambo这样的开源系统，还有Mambo的变种LimboCMS，Mamhoo 。

不符合国情的，在国内也没见流行

还有国外CMS的大全：http://bbschinahtmlcom/t602html 自己有空去翻翻

如果要比较老外CMS的也可以进去看看：http://bbschinahtmlcom/t5429html 直接选择2-10项,,有详细的列表说。

现在每个CMS功能介绍上都会说自己的产品如何强大，比如说什么模板体系如何好，

缓存技术如何高明，刷新效率，负载容量如何强，操作如何如何简单，容易上手，跟第三方无缝结合，还有功能模块的如何丰富，生成静态发布，信息采集……

吹牛谁都会，大家都会写，关键是客户如何认为，反正一句话，适合自己的就是最好的。

安装迅速，后台使用简单

Wordpress的安装只需要几分钟，后台使用也非常简单，特别适合一个新手搭建一个企业网站。

利于SEO优化

因为Wordpress有很多利于SEO优化的插件

例如：all in one seo pack、百度地图插件、谷歌地图插件等

模板主题容易制作

wordprss主题制作，相对比较简单，只需要你有一定的开发基础就可以做到。

主题大多免费

即使你不会制作主题，也可以在互联网上找到很多免费的主题，而在DEDECMS和帝国CMS是需要付费的。