国内草根站长用的最多的一款建站源程序就是dedecms,通常是通过FTP或者服务器面板自带的文件管理器来上传下载的。FTP可视性、体验都相对差一点,且需要事先安装FTP软件,更换环境后的站点管理上有很多不便;另一方面,涉及一些站点代码修改,在线编程需求时,需要下载到本地修改后,之后再上传覆盖,也会比较麻烦。
老蒋在上周的时候有记录和整理"帝国CMS最新版本下载和详细的安装图文教程记录"帝国CMS程序的安装和体验,在N年前老蒋对于这款CMS还是比较熟悉的,帝国CMS7.5版本和早年的没有特别的区别,但是在功能和移动端是有加强部分功能。如果我们需要依靠CMS搭建交互性较强的,以及选择安全性较高的CMS程序可以使用帝国CMS,但是如果我们需要简单的WEB1.0内容管理系统,老蒋个人觉得帝国CMS稍显累赘。
目前我们熟悉的DedeCMS程序一直没有更新升级的原因一方面可能在于本身的功能已经确实很齐全的因素。比如我们在编辑文章的时候,从其他地方复制过来的带有图片的文章,程序是自带自动保存本土图片的。这个就节省我们再下载到本地然后上传到网站的过程。
最近有网站用了织梦,因为dedecms后台实在复古且复杂,所以一直没有好好长久接触。但瘦死的骆驼比马大,不得不承认织梦的模板还是非常多的。
前段时间网站被黑了,从百度打开网站直接被劫持跳转到了cai票,du博网站上去,网站的首页index.html文件也被篡改成一些什么北京sai车,pk10,一些cai票的关键词内容,搞得网站根本无法正常浏览,从百度搜索我们公司网址,直接被百度拦截,提示什么:百度网址安全中心提醒您:该页面可能存在违法信息!截图如下:
虽然DedeCMS织梦程序已经很久没有更新升级,但是依旧有很多人在使用。比如我们可以看到市面上有很多第三方的DedeCMS主题和插件,从生态角度看,目前DedeCMS算是国产CMS程序中使用最多的。从功能上看目前已经基本完善,这个也可能是老蒋认为一直没有升级更新的原因之一。
进入DedeCms后台 -> 系统 -> 数据库备份/还原 备份文件在\data\backupdata
这段时间在赶一些新项目,我们建站一般都在本地服务器搭建起来,测试得差不多了才传到网上,这样对蜘蛛也相对友好一些,要不然改来改去变化太大给搜索引擎的第一印象很不好。但是由于本地环境和服务器环境还是有
对刚开始学习Dede织梦建站的同学,当在本地调试好网站上传到服务器后,在没有采取防护的情况下,网站很容易被挂马,挂马后,网站首页会被篡改,或者网站被恶意跳转到别的不相关的网站上。所以为了避免这种情况的发生,本站整理以一些关于“Dede织梦网站被挂马原因及解决办法”能帮助到大家。
云开发静态托管是云开发提供的静态网站托管的能力,静态资源(HTML、CSS、JavaScript、字体等)的分发由腾讯云对象存储 COS 和拥有多个边缘网点的腾讯云 CDN 提供支持
很多人看到别人的网站也是用dedecms建的,但是他们的专题做得很漂亮,也在想如何自定义dedecms专题模板呢?
0x00 前言 昨天晚上做了一个神奇的梦,梦到了我高中时候晚自习在偷偷的看《黑客攻防技术宝典》,当年的事情无论是苦是乐,回忆起来总是感觉非常的美好。但是,现实就是现实,梦境还是要被舍友的闹铃声打破,在大梦初醒后,我仿佛有一种“垂死梦中惊坐起”的感觉,是谁为我织出了这么美好的一个梦境?难道织梦CMS(DedeCMS)又要出0day了?于是,我立马从床上跳了下来,打开电脑,从官网下载了最新版的织梦CMS(DedeCMS V5.7 SP2正式版),心想着一定要代码审计一波带走。于是乎,就有了你现在正在阅读的这篇文
信息收集无论是在渗透,AWD还是挖src中,都是重中之重的,就像《孙子兵法》中说到的"知彼知己,胜乃不殆;知天知地,胜乃可全",也就是"知己知彼,百战不殆"
大清早的一上班收到3个网站客户的QQ联系,说是自己公司的网站被跳转到了北京sai车,cai票,du博网站上去了,我们SINE安全公司对3个网站进行了详细的安全检测,发现这3个客户的网站都是同样的症状,网站首页文件index.php,index.html都被篡改添加了恶意的代码。网站在百度的快照也被更改成了这些cai票,bo彩的内容了,并被百度网址安全中心提醒您:该站点可能受到黑客攻击,部分页面已被非法篡改!如下图所示:
织梦程序依托MySQL数据库、PHP开发环境、服务器(Apache或Nginx),初学期间安装这些环境对初学者是极其困难,因此,我们可以借助集成开发环境,也就是通过一个软件完成以上所有环境的配置。 基于Linux操作系统、PHP开发环境、MySQL数据库、Apache服务器的集成开发环境软件还是有很多的,DeDeCMS官方提供了DeDeApZ、还有Apmserver、PHPStudy等软件。
在采集到URL之后,要做的就是对目标进行信息资产收集了,收集的越好,你挖到洞也就越多了............当然这一切的前提,就是要有耐心了!!!由于要写工具较多,SO,我会分两部分写......
织梦(DedeCms)也是一个国产内容管理系统,曾经爆出过众多漏洞,甚至还有人开发了dedecms漏洞一键扫描器
2018-12-11 在CVE中文申请站公布了一个 DEDECMS 5.7 SP2 最新版本中存在文件上传漏洞,具有管理员权限者可利用该漏洞上传并getshell执行任意PHP代码。
4 由于机器有限,尽可能地把三个站点放到同一台服务器上,然后做负载均衡集群,要求所有站点域名解析到一个ip上,也就是说只有一个出口ip
公司的官方网站从春节前无缘无故就出现连接数据库异常的现象,由于以前也出现过,再加上没多久逢年过节,也就没有太在乎这个情况,仅仅试着重新启动了网站数据库。逢年过节的时候我发现了有一些不太对,网站数据库只有一打开没多久就宕掉。检查服务器里的资源,发现服务器的内存被占满,CPU达到百分之100就连远程连接都越来越巨慢至极,因此开展对该网站被攻击的问题解决。
1、在电脑中打开C\windows\Font\,找到字体simhei.ttf,上传到到网站/data/mark/下。注意文件名是:simhei.ttf
怎样才能搞好网站安全防护的工作今天这篇文章本应该在csdn、天天快报、天涯论坛等大网站手机用户数据信息被泄漏时就应该写的,可那时候确实都没有写网站安全防护层面文章内容的推动力,许多自媒体都是在讨论网络信息安全层面的事儿,许多文章内容以至于有千篇一律的一小部分,一直到上星期我的好多个公司网站连续不断被黑客入侵,网站安全防护的工作才真真正正引发了我的注重。当中2个用dedecms做的公司网站,公司网站底端被直接挂了很多的隱藏超链接,我也是在检测友链的情况下发觉了有很多的导出来超链接,依据网页源代码才发觉公司网站被侵入了。
很多客户的网站被拦截并提示:“该内容被禁止访问”,大多数客户使用的都是阿里云的虚拟主机以及ECS服务器,最近发生这种问题的网站也越来越多,这几天刚解决完一个客户网站被阿里云:违规URL屏蔽访问处理通知并拦截,经过朋友介绍找到我们SINE安全公司。
本文所写的内容基本真实,但有些渗透溯源的过程为了描述的精简被修改删除。一些无关紧要的事情也被略去,但对渗透至关重要的大思路和小细节我都没放过。同时在渗透的时候我没有留下截图,很多图是我后来补上的。转载请注明出处。
之前因为ytkah批量添加了dedecms文章,数量有些多,后面出现问题了,想要删除一部分织梦文章,后台一篇篇删,删到手软(相关内容:修改dedecms关键词到手软),于是就想到了sql数据库操作
11 制定合理的mysql数据备份方案,并写备份脚本,要求把备份数据传输到备份服务器
很多网友用IIS服务器建站,反映说dedecms首页默认多了一个/index.html,一般是没有这个后缀的,直接就**.com,那么如何将dedecms首页去掉index.html呢?很简单,服
1、EditPlus 一套功能强大,可取代记事本的文字编辑器,拥有无限制的Undo/Redo、英文拼字检查、自动换行、列数标记、搜寻取代、同时编辑多文件、全屏幕浏览功能。而它还有一个好用的功能,就是它有监视剪贴簿的功能,能够同步于剪贴簿自动将文字贴进EditPlus的编辑窗口中,让你省去做贴上的步骤。另外它也是一个好用的HTML编辑器,除了可以颜色标记HTML Tag (同时支持C/C++、Perl、Java)外,还内建完整的HTML和CSS1指令功能,对于习惯用记事本编辑网页的朋友,它可帮你节省一半以上的网页制作时间,若你有安装IE 3.0以上版本,它还会结合IE浏览器于EditPlus窗口中,让你可以直接预览编辑好的网页(若没安装IE,也可指定浏览器路径)。 这是款编写PHP时使用最多的文本编辑器之一,方便使用,很多PHP人士都喜欢用它。 不过它是共享软件,需要花Money的。不过这年头都用大家都用破解的,要找到破解版很容易的,所以我就不放下载地址了…… 2、Zend Studio 用文本编辑器虽然很方便,可是开发一套大型的系统,很多人还是喜欢用IDE集成环境。所以这款软件很适合你。 Zend Studio 是专业开发人员在使用PHP整个开发周期中唯一的集成开发环境 (IDE),它包括了PHP所有必须的开发部件。通过一整套编辑、调试、分析、优化和数据库工具,Zend Studio 加速开发周期,并简化复杂的应用方案。 Zend Studio主要组件 1 专业的集成开发环境 内置 编辑器, 调试器, 以及 帮助文档 2 Windows, Linux, Mac 等多个操作系统版本 3 多语言支持 4 专业的编辑器 5 关键字、语法加亮显示 (PHP, HTML, XHTML, and JavaScript) 6 XML & CSS 的关键字、语法加亮显示 7 代码模板 8 支持 PHP 4 and PHP 5 9 代码自动完成功能 10 PHP Code (+PHPDoc) 分析功能 11 内部调试器 12 代码摘录 13 PHP 代码分析 14 远程调试器 15 Remote Profiler 16 数据库连接以及集成查询 ,适用于 : IBM DB2/Cloudscape, MySQL, Oracle Microsoft SQL Server, SQLite, and PostgreSQL 17 NEW! Set of SQL Tools: SQL Query Editor, SQL Explorer, and more. 18 NEW! PHPDocumentor 19 CVS 集成 ,方便团队开发 20 FTP 高度集成 原来Zend Studio都是用java开发的,后来直接投入Eclipse的怀抱了。最新的Zend Studio 6.0就被称为Zend Studio for Eclipse 6.0。 编辑器、调试器、漂亮的外观加上Zend特有的一些属性,要有的都有了,真是非常完美的PHP开发集成环境啊。 不过这个还是要注册的……从官方下载的会有一个月的试用期。(好工具都要注册,要钞票的……) 因为Zend Studio for Eclipse刚出来,比较难找到注册码,在一个PHP论坛有个家伙在网上找了3个小时才找到注册机……这里我就无私奉献一下吧。(其实动点脑筋很快就找到了) 官方下载地址: http://downloads.zend.com/studio-eclipse/6.0.0/ZendStudioForEclipse-6_0_0.exe 我把注册机上传到网盘里,自己下吧: http://www.fs2you.com/files/7d645bf8-db9c-11dc-83bc-0014221b798a/ 以上说的都是共享软件,都是要钞票的。这样找一些破解版本来用,实在会有些过意不去。其实PHP作为开源语言,自然会有一些很不错的开源软件。 3、Norepad++ Notepad++是一款非常有特色的编辑器,是开源软件,可以免费使用。 功能有: ①、内置支持多达27种语法高亮度显示(囊括各种常见的源代码、脚本,值得一提的是,完美支持.nfo文件查看),也支持自定义语言; ②、可自动检测文件类型,根据关键字显示节点,节点可自由折叠/打开,代码显示得非常有层次感!这是此软件最具特色的体现之一; ③、可打开双窗口,在分窗口中又可打开多个子窗口,允许快捷切换全屏显示模式(F11),支持鼠标滚轮改变文档显示比例,等等; ④、提供数个特色东东,如邻行互换位置、宏功能,等等…现在网上有很多文件编辑器,这个却是不可多得的一款,不论是日常使用还是手写编程代码,都能让你体会
2018年的中秋节即将来临,我们Sine安全公司,最近接到很多用dedecms程序的企业公司网站客户的反馈,说是公司网站经常被篡改,包括网站首页的标题内容以及描述内容,都被改成了什么北京sai车,北京P-K等等的内容,而且大多数的网站客户都是从百度搜索关键词,点击进公司网站会被直接跳转到赌bo网站上去。
本文将对dedecms(织梦cms)所存在的漏洞进行分析和复现,因为代码审计较弱,代码这一块的分析借鉴了一些大佬们的思想,在这里对大佬们表示衷心的感谢。
最近dedeCMS爆了好多洞(0day),于是将最近的漏洞进行复现和整理便成为了本篇漏洞集合。期待师傅们的指导与交流。 cookie伪造导致任意前台用户登录 0x00 相关环境 源码信息:DedeCMS-V5.7-UTF8-SP2-20180109 问题文件: \DedeCMS-V5.7-UTF8-SP2\uploads\member\index.php 漏洞类型:cookie伪造导致前台任意用户登录 站点地址:http://www.dedecms.com/ 0x01 漏洞分析 在文件\Dede
织梦dedecms是站长使用得比较多的一个建站开源程序,正因如此,也是被被入侵挂马比较多的程序。下面就来跟大家说一下怎么重新命名dedecms的include文件夹以及plus文件夹来提高网站的安全性,减少被黑客软件扫描到漏洞的概率。 dedecms的漏洞主要集中在data、include、plus、dede、member几个文件夹中的php文件里,对于data这个文件夹我们可以把它移到网站的根目录外,dede可以冲命名,member可以删掉,一般用不着,special专题功能 install安装程序(必
关于织梦DedeCMS程序整站迁移搬迁服务器/主机的问题是我在上一篇文章中给网友解决问题的时候想到的话题,我并没有帮他迁移数据。只是顺带想到就一并简单的记录学会织梦DedeCMS整站迁移主机/服务器,这里他没有更换域名,所以相对来说简单一些。
之前也写过几篇关于dedecms漏洞复现的文章了,光是复现也没什么意思,于是利用google hacking技巧,找到了一个使用dede的站点,正好用上了之前几篇文章里提到的所有的技术。所以特地写出来,也当做一个总结吧。
很明显这就是一个收集QQ账号密码的,当然了这只是对我来说... 很多不是相关专业的朋友打开这样的链接也看不出和官方的区别。这里给大家分享一下如何辨别类似的假冒网站吧。1、 按理说要在中国大陆内搭建网站都是需要备案的,如果面向国内业务的网站没有备案,那百分之90都不是正规。点我查询网站备案信息 2、看域名后缀,如果类似这种cfd、xyz、top之类的 没几个大公司用这种域名,因为便宜,骗子们用完就丢了。大部分都是com、cn、net、org等
目前我们选择建站程序的时候,个人网站、博客的话大家都喜欢选择WP或者ZBLOG程序居多,中大型内容系统的话我们选择帝国CMS或者DedeCMS织梦程序比较多,对于企业类网站的话,还有很多需要授权才能使用的企业CMS,虽然那些也有免费授权,但是尽量不要用,可能会被认为商业行为有版权纠纷。
dedecms2013年6月7日补丁或者新版本dedecms程序,去掉power by dedecms的方法
昨天下午的时候有网友留言是否熟悉DEDECMS织梦程序,需要解决TAGS静态问题,虽然老蒋之前对于DEDECMS主题大概的情况还是熟悉的,只要有动力肯定是没有问题。看到实际的情况是这样子的,他这个源码
做贼心虚——当看到网站页面中出现power by dedecms,哥的心里总感觉虚得慌。为何在使用dedecms时,自己并不想让别人知道该网站是用dedecms做的呢?是为了网站安全考虑不透露信息,还是不想让人知道你用的仅是开源系统,low逼了一地!
今天老蒋和makedown同学在讨论大数据网站使用哪种CMS比较好时候都提到国内比较老牌的DEDECMS织梦和帝国CMS程序,这两者内容管理系统还是比较有代表性的,曾经相对而言DEDECMS易用性较强且使用用户确实是比较多,但是安全性一般而且目前基本也没有官方维护。但是帝国CMS程序一直在有维护更新,而且安全性是比较强的,老蒋早年也有接触和安装过感觉易用上手体验稍微欠缺一点。
2.检查selinux是否已关闭,防火墙的80端口是否已打开,或者是否清空了防火墙规则:
织梦CMS近期的新版本至2013-6-7更新包以来,不管新版还是旧版更新补丁包,更新后网站页底都会出现power by dedecms。power by dedecms什么意思呢,那power by dedecms怎么去掉呢,请大家看以下方法:
我们很多站长朋友选择织梦DedeCMS程序的主要原因在于是可以生成HTML静态文件的,这样在一定程度上是可以减少服务器的负载的。所以我们一般做大数据的内容管理系统比较多,当然还有一个原因就是DEDECMS程序比较简单易用,以及拥有很多免费的主题模板。
基本用法(导入文件test.txt到table1表中,txt文件中的行分隔符为\r\n,默认tab键为字段分隔符,txt文件中的每个字段按顺序对应column1、column2,。。。导入表中)
在使用织梦( DedeCMS )搭建网站的过程中,经常会遇到一些问题。其中一个比较常见的问题是,网站访问时出现织梦diy.php丢失的错误提示。出现这种情况,造成的直接影响就是无法正常使用织梦的DIY模板功能。那么,为什么会出现这种情况?有什么解决方法呢?本文将为大家详细介绍。 一、原因分析 在理解织梦diy.php丢失错误之前,我们需要了解一下织梦的DIY模板功能是如何工作的。在织梦CMS中,DIY模板是通过PHP脚本文件来实现的。具体而言,就是由一个 […]
WEB服务器,但是首页只有一个IIS 7的欢迎界面,所以先看一下端口顺便扫个目录。
织梦CMS在安装完成后,新人往往会直接开始开发使用,忽视了一些安全优化的操作,这样会导致后期整个系统安全系数降低,被黑或者被注入的概率极高,毕竟这世界百分百存在着极多的无聊hacker对全网的网站进行扫描,扫到你这个菜站,尤其是使用率极高的DEDECMS,对你的站点下手的欲望更高,所以在开发前做好安全防范还是很有必要的!
领取专属 10元无门槛券
手把手带您无忧上云