漏洞版本: Dedecms 5.5 漏洞描述: 漏洞产生文件位于include\dialog\select_soft_post.php,其变量$cfg_basedir没有正确初始化,导致可以饶过身份认证和系统变量初始化文件,导致可以上传任意文件到指定目录.其漏洞利用前提是register_globals=on,可以通过自定义表单为相关的变量赋值. <* 参考 by:Flyh4thttp://sebug.net/appdir/织梦(DedeCms) *> 测试方法: @Sebug.net   d…

首先需要说明的是,任何程序都是有漏洞的,我们需要做好一些必要的防范,来减少由于程序漏洞造成的损失.织梦的漏洞多,这个是很多人的想法.不过大家如果做好了织梦系统的文件夹权限什么的设置,很多漏洞也是用不上的. 这些安全措施,织梦官方已经给出过很多教程了,如织梦后台中uploads等文件夹执行php文件权限的问题.今天主要说的就是Nginx下取消织梦uploads文件夹权限的问题.如果是在Apache中,可以在.htaccess中通过如下的代码解决: RewriteEngine on  Rewrite…

织梦(DedeCMS)模板也是一种财富,不想自己辛辛苦苦做的模板被盗用,在互联网上出现一些和自己一模一样的网站,就需要做好模板防盗.本文是No牛收集整理自网络,不过网上的版本都没有提供 Nginx 301重定向实现dedecms模板防盗的方法和403文件禁止实现织梦模板防盗,自己狗尾续貂,整合到一起了,方便自己以后查询.以下就是织梦模板防盗的四个方法,希望可以帮到大家. 1.系统文件修补法 系统文件修补法这种方法呢,显得比较麻烦一点.也要求对织梦(DedeCMS)系统有一定的熟悉度才建议这样来做…

织梦DedeCMS是一款非常流行的CMS,很多刚开始建站人都用的织梦,一方面是织梦比较容易操作;另一方面是织梦的SEO方面做的确实比其他的系统要好一些.这些都导致织梦的用户群是非常庞大的,用的人多了,漏洞自然就多起来,所以织梦的安全性为大家所诟病,很多人在使用中经常会遇到或者担心网站挂马.这里No牛网特意整理一篇关于织梦DedeCMS安全设置的文章,希望对使用织梦的朋友有点帮助. 一般使用织梦建的站只要做到下面一系列针对DEDE网站的安全设置,基本可以避免99% 网站被挂马的情况. 一.精简程序…

1.进入后台后,点击 系统->系统基本参数->添加变量: 变量名称:cfg_safecheck_switch 变量值:N 变量类型:布尔(Y/N) 参数说明:启用安全监测系统: 2.找到系统后台目录(默认为dede)打开目录下的templets/index_body.htm文件 修改该文件18-35行修改为 <script type="text/javascript"> var safecheck_switch = "<?php echo $cf…

很多使用织梦dedecms单页文档功能的朋友都想知道如何在织梦首页调用单页文档的内容,下面就教大家具体的实现方法: 具体步骤如下: 首先在首页模板需要显示单页文档内容的地方插入如下代码: {dede:sql sql="SELECT body FROM `dede_sgpage` where aid = 3" } [field:body function="htmlspecialchars(cn_substr(@me,100))"/] {/dede:sql} 代码里面…

织梦DedeCms 有个标签可以调用相关文章,通过下面的修改可以调用全站的相关文章,文章页内显示相关文章内容,可以提高关键词密度,还是挺不错的. 模板调用代码 <div>     <dl>           <dt><strong>相关文章</strong></dt>               <dd>                  <ul>                       {dede:li…

织梦DedeCms给我们提供了大量调用标签,供我们调用各种数据,但提供再多的标签,也有满足不了我们的时候,这时我们可以用SQL语句,灵活调用我们需要的内容. 如何任意调用数据库中的内容呢?先举个例子:大家都知道DEDE后台有个频道模型里面有添加单页文档的功能,但如何在首页调用单页文档的内容呢,现在给大家讲下如何使用: 1.首页在后台单页文档管理里添加一个单页文档,内容编辑框输入你要的内容生成. 2.在需要调用单页文档的地方加入SQL万用标签{dede:sql sql=”select body f…

因为织梦上传图片用的是绝对地址,如果域名更换后,之前发布的文章的图片URL是不会跟着改变的,所以我们需要把旧域名替换成新的域名,方法很简单,有一段SQL语句更新一下文章正文内容就行. 复制下面SQL语句进织梦DedeCms的后台,点 系统 -> SQL命令行工具,然后看到一个文本框,在文本框内输入SQL语句,按确定之行.如果操作成功,上面会提示“成功执行x个SQL语句!” update dede_addonarticle set body=replace(body,’旧域名’,'新域名’) 然后…

织梦DedeCms的面包屑导航调用标签{dede:field name=’position’ /},在栏目页里调用的面包屑导航,最后会出现分割符号“>”,如:主页 > DedeCms 模板 > 用下面这两种方法可以将最后的分割符“>”,用如下代码调用面包屑导航标签: {dede:field name=’position’ runphp=’yes’} $a=mb_strlen(@me);//计算字符串的长度 @me=cn_substr(@me,$a-2,-1);//截取字符 {/de…