我们知道dedecms有一个面包屑导航的调用函数,{dede:field name='position'/},这个样式是固定的,有时要个性化一些的话需要修改很多地方,那么织梦cms有没其他方法获取当前文章所在栏目URL呢?有的! {dede:field.typename/} 这样的话就可以自定义首页链接的锚文本了,
有时我们建网站会建很多分类,每个分类又有小分类,为了让顶级栏目获得更好的权重和排名,我们会聚合子栏目。那么dedecms调用当前栏目的子栏目怎么操作呢? 有两种方法:标签dede:sonchannel和标签channel type='son' 1、dede:sonchannel {dede:sonchannel} [field:typename/] {/dede:sonchannel} 2、channel type='son' {
在采集到URL之后,要做的就是对目标进行信息资产收集了,收集的越好,你挖到洞也就越多了............当然这一切的前提,就是要有耐心了!!!由于要写工具较多,SO,我会分两部分写......
感觉自己代码审计的能力不太行,于是下载了一个cms来锻炼下自己的代码审计功底,这篇文章记录一下这个dedecms代码执行的漏洞
百度站长工具推出主动提交功能有一段时间了,可以将新产出链接立即通过此方式推送给百度,以保证新链接可以及时被百度收录。那么dedecms如何批量导出新增文章url呢?你可以用标签调用最新文章,可以用
前面ytkah谈到了 dedecms调用当前栏目的子栏目怎么操作,有的朋友会问如果再增加一个调用子栏目文章的需求,即调用当前栏目的子栏目及子栏目文章,这个有办法实现吗?这时就要涉及到另外两个标签的调用了,dede:channelartlist标签和dede:arclist标签 {dede:channelartlist} {dede:field nam04
灵感不就来了,那么初步判断有可能是dedecms尝试了几个dedecms的目录,均是not found
虽然DedeCMS织梦程序已经很久没有更新升级,但是依旧有很多人在使用。比如我们可以看到市面上有很多第三方的DedeCMS主题和插件,从生态角度看,目前DedeCMS算是国产CMS程序中使用最多的。从功能上看目前已经基本完善,这个也可能是老蒋认为一直没有升级更新的原因之一。
用dedecms织梦系统建站的童鞋,在遇见很喜欢的网站的时候总想知道人家的网站是用什么做的,怎么知道网站是不是dedecms建的呢??
最近公司有客户非企业网站用途,需要类似内容管理系统,考虑到帝国CMS和织梦DEDECMS两者都可以解决,但是老蒋对于后者以前在医院工作的时候是有较多的使用,还是决定使用DEDECMS程序。因为个人博客之前有重新搭建,对于之前DEDECMS仿站使用的模板标签需要重新找回,在这里对于DEDECMS织梦程序准备重新整理常用的仿站模板标签。
最近dedeCMS爆了好多洞(0day),于是将最近的漏洞进行复现和整理便成为了本篇漏洞集合。期待师傅们的指导与交流。 cookie伪造导致任意前台用户登录 0x00 相关环境 源码信息:DedeCMS-V5.7-UTF8-SP2-20180109 问题文件: \DedeCMS-V5.7-UTF8-SP2\uploads\member\index.php 漏洞类型:cookie伪造导致前台任意用户登录 站点地址:http://www.dedecms.com/ 0x01 漏洞分析 在文件\Dede
深信服公众号前几天发了Dedecms未授权RCE的漏洞通告。地址是这个: 【漏洞通告】DedeCMS未授权远程命令执行漏洞
想必大伙建站都会写文章,随着时间的推移,你的智慧结晶会越来越多,一般的建站程序早帮你想好了,把这些文章做成一个列表,比如dedecms栏目列表,便于观众浏览,但有个问题就是dedecms文章列表页标题没有序号,如果是默认的话,第N页的标题和第一页的标题一模一样,对se相当不友好,它会认为你的网站重复页面太多,可能会对你的网站区别对待,那就太委屈了。
综述 2018年01月09日,Dedecms官方更新了DedeCMS V5.7 SP2正式版,后续在10日有网友爆出其存在任意用户密码重置漏洞。 攻击难度:低。 危害程度:高。 官方修复情况如下:目前暂未发布升级补丁 ---- 什么是DedeCMS 织梦内容管理系统(DeDeCMS) 以简单、实用、开源而闻名,是国内最知名的PHP开源网站管理系统,也是使用用户最多的PHP类CMS系统,在经历多年的发展,目前的版本无论在功能,还是在易用性方面,都有了长足的发展和进步。广泛应用于
织梦程序依托MySQL数据库、PHP开发环境、服务器(Apache或Nginx),初学期间安装这些环境对初学者是极其困难,因此,我们可以借助集成开发环境,也就是通过一个软件完成以上所有环境的配置。 基于Linux操作系统、PHP开发环境、MySQL数据库、Apache服务器的集成开发环境软件还是有很多的,DeDeCMS官方提供了DeDeApZ、还有Apmserver、PHPStudy等软件。
老蒋在上周的时候有记录和整理"帝国CMS最新版本下载和详细的安装图文教程记录"帝国CMS程序的安装和体验,在N年前老蒋对于这款CMS还是比较熟悉的,帝国CMS7.5版本和早年的没有特别的区别,但是在功能和移动端是有加强部分功能。如果我们需要依靠CMS搭建交互性较强的,以及选择安全性较高的CMS程序可以使用帝国CMS,但是如果我们需要简单的WEB1.0内容管理系统,老蒋个人觉得帝国CMS稍显累赘。
我们在建站时经常会在文末加一个本文地址,那么dedecms文章页如何调用当前文章URL呢?这样做的好处是增加文章的唯一标识,更进一步的做法是在head中加个cannacial标签,告诉搜索引擎ur
在文章的末尾或侧边栏添加相关文章可以提高用户的黏度,提高pv,增加se的好印象(哈哈),那么dedecms如何调用相关文章呢?有三种方法可以实现。
织梦(DedeCms)也是一个国产内容管理系统,曾经爆出过众多漏洞,甚至还有人开发了dedecms漏洞一键扫描器
在使用dedecms模板的过程中经常会用到一些默认dedecms没有的字段,或者要自己添加自定义内容模型,后台是添加好了,文章也录入了,可(字段无法显示)前台调用不出来怎么办呢?要想实现如下效果:
-----------------------------------------------------------------------------------------
之前因为ytkah批量添加了dedecms文章,数量有些多,后面出现问题了,想要删除一部分织梦文章,后台一篇篇删,删到手软(相关内容:修改dedecms关键词到手软),于是就想到了sql数据库操作
dedecms :说这个是国内人气最旺的cms,我想没有人反对吧? 中国站长站(chinaz.com),站长资讯(admin5.com),称这两个站点是大站,没人反对吧?如果你做的是个人站点,如果数据
PageAdmin、WordPress与dedeCMS作为国内三大cms建站系统,经常在功能性,操作性和负载等方面进行对比,每个cms的侧重点都不一样,所以没有绝对的哪个好,哪个不好,有的只是是否你的网站类型,或者是否适合你的使用习惯,这里只对三个cms的模板制作进行一个简单的对比,希望能给新手朋友一个借鉴,下面以调用文章列表页数据为例,讲解三个cms的模板制作区别。
一位小MM刚接触dedecms没多久还不熟悉后台的操作,她说改dedecms文章中的品牌名改到手酸,问ytkah是否有批量替换关键词的方法,教了她dedecms后台批量替换文章中的关键词方法,她高兴坏了,感觉非常神奇!过没几分钟,她又发愁了,说标题还是没变,不知道如何批量替换dedecms文章标题中的关键词。
根据第二篇,我们有信心去遍历root key的所有可能, 但是我们还需要一个碰撞点, 才能真正得到root key的值, 本篇找到了两个碰撞点, 并编写了简单的POC来获取root key。
织梦内容管理系统(DedeCms) 以简单、实用、开源而闻名,是国内最知名的PHP开源网站管理系统,也是使用用户最多的PHP类CMS系统,在经历了二年多的发展,目前的版本无论在功能,还是在易用性方面,都有了长足的发展,DedeCms免费版的主要目标用户锁定在个人站长,功能更专注于个人网站或中小型门户的构建,当然也不乏有企业用户和学校等在使用本系统。织梦内容管理系统(DedeCms)基于PHP+MySQL的技术架构,完全开源加上强大稳定的技术架构,使你无论是目前打算做个小型网站,还是想让网站在不断壮大后系仍能得到随意扩充都有充分的保证。
作者:LoRexxar'@知道创宇404实验室 0x01 背景 织梦内容管理系统(DedeCms)以简单、实用、开源而闻名,是国内最知名的PHP开源网站管理系统,也是使用用户最多的PHP类CMS系统,在经历多年的发展,目前的版本无论在功能,还是在易用性方面,都有了长足的发展和进步,DedeCms免费版的主要目标用户锁定在个人站长,功能更专注于个人网站或中小型门户的构建,当然也不乏有企业用户和学校等在使用该系统。 2018年1月10日, 锦行信息安全公众号公开了一个关于DeDeCMS前台任意用户密码修改
这几天老蒋在设计一款DEDECMS织梦CMS的主题,已经是将近十年没有接触这款CMS程序。在内容页设置过程中,根据需求标题中是不要显示标题的,而是使用简短标题。我们在发布DEDECMS文章的时候在标题后面是可以看到有简略标题选项。
有时我们需要用到dedecms提供的自定义内容模型功能去添加自定义内容模型来满足需求,那么dedecms自定义内同模型怎么添加采集规则呢?打开“/dede/templets/co_add_step
老蒋已经有好几年没有接触过DEDECMS织梦程序。前几天有看到织梦有在开发更新5.8版本,而且有计划在10月份的时候上线。实际上对于功能和易用性看,内容管理系统是比较有优势的,便捷度甚至比安全性较好的帝国CMS好很多,只不过安全性织梦差一些。如果能解决安全问题,那势必还会恢复早年的活力。
这里老蒋在制作织梦DEDECMS主题的时候,在侧栏部分位置希望调用权重的TAG标签,用来连贯站内的文章信息,当然也是起到一定的SEO作用效果的。于是翻看一些DEDECMS文档,这里记录下来。
2.检查selinux是否已关闭,防火墙的80端口是否已打开,或者是否清空了防火墙规则:
根据红日安全写的文章,学习PHP代码审计的第四节内容,题目均来自PHP SECURITY CALENDAR 2017,讲完题目会用一个实例来加深巩固。
织梦内容管理系统(DedeCms)以简单、实用、开源而闻名,是国内最知名的PHP开源网站管理系统,也是使用用户最多的PHP类CMS系统,在经历多年的发展,目前的版本无论在功能,还是在易用性方面,都有了长足的发展和进步,DedeCms免费版的主要目标用户锁定在个人站长,功能更专注于个人网站或中小型门户的构建,当然也不乏有企业用户和学校等在使用该系统。
既然已经完成织梦DEDECMS仿站中首页和列表页的标签调用整理之后,我们还需要整理内容页面的整理即可。内容页面稍微简单一些,只要标题头部调用,以及当篇文章的内容和相关信息。因为是公司类别的内容,所以不会涉及到留言的模块,这里我也不使用留言功能。
我们很多站长朋友选择织梦DedeCMS程序的主要原因在于是可以生成HTML静态文件的,这样在一定程度上是可以减少服务器的负载的。所以我们一般做大数据的内容管理系统比较多,当然还有一个原因就是DEDECMS程序比较简单易用,以及拥有很多免费的主题模板。
我们在设计DEDECMS织梦主题的时候肯定会在页面中调用上一篇和下一篇文章,这样可以提高内页内容的融合,提高网站之间的串联传递权重。那一般调用上一篇和下一篇的代码是什么呢?因为老蒋已经很久没有做DEDECMS主题,代码也忘记,所以记录下来以后需要直接获取。
WordPress 是一个非常不错的免费开源系统,很多做 SEO 的站长都会选择这个程序,而如今织梦 DEDECMS 开始强调商业授权使用,所有很多企业站点想要继续使用 DEDECMS 就需要付授权费用,如果想要免费,那么就只有换程序,下面给大家介绍关于织梦 CMS 数据转换到 WordPress 程序的教程和步骤。
之前ytkah写过dedecms如何调用当前栏目的子栏目及子栏目文章,那如果是finecms如何同时调用子栏目和子栏目的文章呢? {list action=category pid=0 id=31} {if $t.child} {list action=category pid=$t.id return=t2} <div c
1、开启会员模块 2、攻击者拥有一个正常的会员账号 3、目标没有设置安全问题
目前我们熟悉的DedeCMS程序一直没有更新升级的原因一方面可能在于本身的功能已经确实很齐全的因素。比如我们在编辑文章的时候,从其他地方复制过来的带有图片的文章,程序是自带自动保存本土图片的。这个就节省我们再下载到本地然后上传到网站的过程。
一位美女问:dedecms首页调用的简介一直修改不了,ytkah让她到具体的文章修改,然后再重新生成一下首页。她说还是不行。那就奇了怪了,点击到具体的文章页面是显示已经修改好了,为什么首页还是原来的呢?到后台重新生成了一下js文件貌似也不行。
织梦内容管理系统(DedeCms) 以简单、实用、开源而闻名,是国内最知名的PHP开源网站管理系统,也是使用用户最多的PHP类CMS系统。
本文所写的内容基本真实,但有些渗透溯源的过程为了描述的精简被修改删除。一些无关紧要的事情也被略去,但对渗透至关重要的大思路和小细节我都没放过。同时在渗透的时候我没有留下截图,很多图是我后来补上的。转载请注明出处。
2018年的中秋节即将来临,我们Sine安全公司,最近接到很多用dedecms程序的企业公司网站客户的反馈,说是公司网站经常被篡改,包括网站首页的标题内容以及描述内容,都被改成了什么北京sai车,北京P-K等等的内容,而且大多数的网站客户都是从百度搜索关键词,点击进公司网站会被直接跳转到赌bo网站上去。
大家好,我们是红日安全-代码审计小组。最近我们小组正在做一个PHP代码审计的项目,供大家学习交流,我们给这个项目起了一个名字叫 PHP-Audit-Labs 。现在大家所看到的系列文章,属于项目 第一阶段 的内容,本阶段的内容题目均来自 PHP SECURITY CALENDAR 2017 。对于每一道题目,我们均给出对应的分析,并结合实际CMS进行解说。在文章的最后,我们还会留一道CTF题目,供大家练习,希望大家喜欢。下面是 第4篇 代码审计文章:
怎样才能搞好网站安全防护的工作今天这篇文章本应该在csdn、天天快报、天涯论坛等大网站手机用户数据信息被泄漏时就应该写的,可那时候确实都没有写网站安全防护层面文章内容的推动力,许多自媒体都是在讨论网络信息安全层面的事儿,许多文章内容以至于有千篇一律的一小部分,一直到上星期我的好多个公司网站连续不断被黑客入侵,网站安全防护的工作才真真正正引发了我的注重。当中2个用dedecms做的公司网站,公司网站底端被直接挂了很多的隱藏超链接,我也是在检测友链的情况下发觉了有很多的导出来超链接,依据网页源代码才发觉公司网站被侵入了。
对目标渗透测试过程中,目标的cms是十分重要的信息,有了目标的cms,就可以利用相关bug进行测试,进行代码审计等。
在dedecms后台发表文章时文章来源是可选的,有时我们没有选择或没填写,那么前台默认文章来源即“未知”。如何将dedecms默认文章来源改为自己想要的关键词呢?即将“未知”改为“keyword”呢?
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
ICP备案
实时音视频
即时通信 IM
对象存储
