很多人说dedecms不好,因为用的人多了,找漏洞的人也多了,那么如果我们能修复的话,这些都不是问题. 好,我们来一个一个修复.修复方法都是下载目录下该文件,然后替换或添加部分代码,保存后上传覆盖(记得先备份),这样的好处是防止用懒人包上传之后因为UTF8和GBK不同产生乱码,或者修改过这几个文件,然后直接修改的部分被替换掉,那之前就白改了,找起来也非常的麻烦.如果你搜索不到,看行数,找相近的,然后将我标记红色的部分复制到对应位置.      任意文件上传漏洞修复      一./include…

首先需要说明的是,任何程序都是有漏洞的,我们需要做好一些必要的防范,来减少由于程序漏洞造成的损失.织梦的漏洞多,这个是很多人的想法.不过大家如果做好了织梦系统的文件夹权限什么的设置,很多漏洞也是用不上的. 这些安全措施,织梦官方已经给出过很多教程了,如织梦后台中uploads等文件夹执行php文件权限的问题.今天主要说的就是Nginx下取消织梦uploads文件夹权限的问题.如果是在Apache中,可以在.htaccess中通过如下的代码解决: RewriteEngine on  Rewrite…

织梦(DedeCMS)模板也是一种财富,不想自己辛辛苦苦做的模板被盗用,在互联网上出现一些和自己一模一样的网站,就需要做好模板防盗.本文是No牛收集整理自网络,不过网上的版本都没有提供 Nginx 301重定向实现dedecms模板防盗的方法和403文件禁止实现织梦模板防盗,自己狗尾续貂,整合到一起了,方便自己以后查询.以下就是织梦模板防盗的四个方法,希望可以帮到大家. 1.系统文件修补法 系统文件修补法这种方法呢,显得比较麻烦一点.也要求对织梦(DedeCMS)系统有一定的熟悉度才建议这样来做…

织梦DedeCMS是一款非常流行的CMS,很多刚开始建站人都用的织梦,一方面是织梦比较容易操作;另一方面是织梦的SEO方面做的确实比其他的系统要好一些.这些都导致织梦的用户群是非常庞大的,用的人多了,漏洞自然就多起来,所以织梦的安全性为大家所诟病,很多人在使用中经常会遇到或者担心网站挂马.这里No牛网特意整理一篇关于织梦DedeCMS安全设置的文章,希望对使用织梦的朋友有点帮助. 一般使用织梦建的站只要做到下面一系列针对DEDE网站的安全设置,基本可以避免99% 网站被挂马的情况. 一.精简程序…

DedeAMPZ服务器套件 http://dedeampz.dedecms.com/ DedeCMS  PHP开源网站管理系统  CMS系统 http://www.dedecms.com/products/dedecms/downloads/ localhost和 127.0.0.1 http://你的网址/dede/index.php ,开始进行安装 \templets\default   网站页面地址 http://help.dedecms.com/tagdoc/v57/ http://he…

DedeCMS flink_add Getshell漏洞 管理员CSRF漏洞 1.漏洞利用 由于tpl.php中的$action,$content,$filename变量没有初始化,从而能操纵这些变量写入任意的代码. 又由于应用没有对管理员的来源页进行任何检查,只是检查了管理员是否登陆,从而造成了CSRF漏洞. 因此可以诱导管理员以管理员的权限写入代码即可. 测试版本:DedeCMS-V5.7-UTF8-SP1-Full 20150618 exp: <?php //print_r($_SERVE…

简单用法: {dede:arclist typeid="1" row="} <li class="list[field:global.autoindex/]">[field:title function="cn_substr(@me,63)"/]</li> {/dede:arclist} 输出类似于 <li class="list1">1</li> <li cla…

这几天在网站改版,想把网站做大,想做频道页二级域名,于是在做网站的过程中发现一个问题,dedecms开设二级域名后,在二级域名的文章页无法显示图片,查看源代码后发现问题,由于dedecms文章页中的图片默认是相对路径,所以在二级域名中无法调用到了. 使用下面的方法亲测可用: 修改目录include下的文件extend.func.php,在最后面添加一个函数方法function replaceurl($newurl){$newurl=str_replace('src="/uploads/allim…

dedecms虽然有诸多漏洞,但不可否认确实是一个很不错的内容管理系统(cms),其他也不乏很多功能实用性的函数,以下就部分列举,持续更新,不作过多说明.使用时需部分修改,你懂的 1.XSS过滤. function XSSClean($val) { global $cfg_soft_lang; if($cfg_soft_lang=='gb2312') gb2utf8($val); if (is_array($val)) { while (list($key) = each($val)) { if…

本文实例讲述了Dedecms去掉URL中a目录的方法.分享给大家,供大家参考.具体分析如下: 使用dedecms的朋友可能会发现自己的URL目录生成是会自动带有一个/A/目录了,那么要如何去掉URL中/a/目录呢,下面我来给大家介绍. 那么怎么去掉/a/,缩短URL呢,方法有两个: 方法一,如果你是新站我们可以在创建时文章栏目的时,选择网站根目录或者cms根目录,这样就会去掉a/ 1.首选在系统设置那的系统基本参数那,文档HTML默认保存路径,把a去掉. 2.然后在到栏目管理那修改下,文件保存目…