今天在做网站监察的时候,发现网站出了一个问题,在对网站做木马监测的时候,扫描出一个可疑文件:/include/filter.inc.php,建议删除,但仔细检查后,发现此文件是织梦(Dedecms)系统自带的问题,那么,我们该如何解决呢?     漏洞描述:dedecms的filter.inc.php这个文件在系统配置文件之后,里面有foreach循环创建变量,可以覆盖系统变量从而导致注入漏洞. 漏洞路径:/include/filter.inc.php 漏洞分析:   /include/filt…

[织梦dedecms系统安全]完善DEDECMS目录的权限安全设置:   ../ [站点上级目录]   如果要使用后台的目录相关的功能需要有列出目录的权限     / [站点根目录]   需要执行和读取权限 如果要在根目录下面创建文件和目录的话需要有写入权限   /install [安装程序目录]   需要有执行和读取权限 建议安装完成以后删除或者改名      /dede [后台程序目录]   需要有执行权限和读取权限 建议安装完成以后修改目录名称   /include [主程序目录]   需…

一.安装设置 1.默认的后台模块中心有很多模块. 这里除了"友情链接"模块其他都可以删掉.在后台可以先卸载再删除. 2.如果是一开始就不想要的话,安装版plus目录下进行如下操作. 删除:guestbook文件夹[留言板,后面我们安装更合适的留言本插件]; 删除:task文件夹和task.php[计划任务控制文件] 删除:ad_js.php[广告] 删除:bookfeedback.php和bookfeedback_js.php[图书评论和评论调用文件,存在注入漏洞,不安全] 删除:bs…

{dede:global.cfg_memberurl/} 指的是会员中心 对应/member/目录 {dede:global.cfg_cmsurl/} 对应的是网站根目录/ {dede:global.cfg_dataurl/} data目录对应  /data/ {dede:global.cfg_basehost/} 网站地址 比方:http://www.sina.com {dede:global.cfg_webname/} 网站名称 {dede:global.cfg_soft_lang/} 网页…

织梦后台里提供了清空内容为空的文章,可是发现并不好用,有些空文章还是删除不了,而有些文章不是空的,只是采到了几个字,这些无法清除,于是就手动来清除这个文章.开始是一个一个文章找,一个一个来删除,后来觉得太累了,文章太多,不可能一个一个找,于是就到后台再找找,看看有没有什么可以用的. 突然发现后台里提供了一个功能[SQL命令运行器],对啊,我可以直接到数据库删除那些数据就可以了. [SQL命令运行器]功能不错,上方列出了所有表,而且提供了三个表功能:[优化表],[修复表],[查看表结构]. 列出的…

1 修改之前我们先备份下数据,备份的操作过程是:网站后台------系统------数据库备份/还原-------然后按提交.默认保存的数据在data/backupdata目录下. 2 修改目录下data/backupdata目录下的所有txt文件的表前缀,把dede_修改您需要的表前缀即可.如我是修改成ab_的表前缀. 3 紧接着打开data/backupdata目录下的所有txt文件 将表前缀修改为需要的ab_ 4 最后修改data目录下的common.inc.php文件,找到 $cfg_d…

站点根网址:    {dede:global.cfg_basehost/}调出网站的名称:   {dede:field.title/}-{dede:global.cfg_webname/}    网站地址:     {dede:global.cfg_cmsurl/}主页链接:   {dede:global.cfg_indexurl/}网站描述:            {dede:global.cfg_description/}网站关键字:         {dede:global.cfg_key…

本文转自:http://www.cnblogs.com/cnteam/articles/4056702.html 最近用了交叉栏目发现当为手动指定交叉栏目ID时用arclist标签不能调出相关文章最后发现是arclist标签有问题要修改的地方是:include/taglib/arclist.lib.php第167行 if($ctag->GetAtt('cross')=='1') 改为 if($ctag->GetAtt('cross')!='0') 再修改第184行 if($arr['cross…

虽然织梦DedeCMS因为安全问题被人所诟病,但瑕不掩瑜,无论从用户群数量还是时间等各方面,织梦DedeCMS都是国内排名前几的CMS建站程序.如果你想学习CMS的二次开发,织梦DedeCMS是必须需要研究的.对织梦DedeCMS的二次开发来说,了解织梦的目录构成.文件.函数则是必备的功课. 今天整理一篇关于Dedecms目录介绍的文章,对织梦DedeCMS的目录结构.核心文件.模板文件等做一个简单的介绍. 以下就是默认的织梦DedeCMS程序根目录中的各大文件夹和文件: /dede //管理后…

我们使用织梦DedeCMS系统有很长一段时间后,不间断的在后台更新系统缓存的时候,有些缓存文件夹及缓存文件没有被清理,导致日积月累的垃圾缓存文件越来越多,可以以百千万计算,现在增强更新系统缓存功能清理沉余的缓存文件及文件夹. 增强织梦DedeCMS“更新系统缓存”清理沉余缓存的功能 我们使用织梦DedeCMS系统有很长一段时间后,不间断的在后台更新系统缓存的时候,有些缓存文件夹及缓存文件没有被清理,导致日积月累的垃圾缓存文件越来越多,可以以百千万计算,现在增强更新系统缓存功能清理沉余的缓存文件及…

织梦(DedeCMS)模板也是一种财富,不想自己辛辛苦苦做的模板被盗用,在互联网上出现一些和自己一模一样的网站,就需要做好模板防盗.本文是No牛收集整理自网络,不过网上的版本都没有提供 Nginx 301重定向实现dedecms模板防盗的方法和403文件禁止实现织梦模板防盗,自己狗尾续貂,整合到一起了,方便自己以后查询.以下就是织梦模板防盗的四个方法,希望可以帮到大家. 1.系统文件修补法 系统文件修补法这种方法呢,显得比较麻烦一点.也要求对织梦(DedeCMS)系统有一定的熟悉度才建议这样来做…

在默认情况下,织梦(DedeCms)系统当前位置的调用标签为: {dede:field name='position'/} 在这种默认的情况下,生成后的代码大致为如下格式: 主页 > 应用软件 > Office专区 > 源代码部分为: <a href='http://127.0.0.1/'>主页</a> > <a href='/a/1/'>应用软件</a> > <a href='/a/1/1/'>Office专区&l…

很多同学遇到网站被攻击挂马,大都不是竞争对手所为.多数情况下是黑客利用工具批量扫描入侵的.因此安全防护自关重要. 织梦安装时注意: 修改默认数据库前缀: 在dedecms安装的时候修改下数据库的表前缀,尽量不用默认的前缀dede_ ,随便改个其他的英文字母小写命名即可.以防止黑客猜到. 安装后去除所有再带后门和漏洞 1.修改默认后台路径: 作用:是防止黑客猜到你的后台,进行其他操作.进入网站根目录,就能看到dede文件夹,重命名即可.比如改为lisanbao这个时候访问后台就不是:你的域名/de…

http://www.360doc.com/content/14/0408/13/16498929_367236469.shtml 织梦DedeCMS系统,处处都在用到提示信息,但是这个提示框,前台后台一层不变,太死板了,可能有很多人都有过去修改它的想法,只是苦于不知道去哪里改.今天我就来说说这个吧,DedeCMS的所有提示信息都是用ShowMsg方法进行处理的,这个函数存放在/include/common.func.php  源代码如下: 01 10 function ShowMsg($msg…

织梦/dedecms系统我们都知道是有很多漏洞的,我在调试投票功能的时候正好要用到投票功能,这不就出现了漏洞,下面我就给大家展示如何修复这个织梦投票漏洞 首先我们打开//dedevote.class.php文件,查 找代码 代码如下 $this->dsql->ExecuteNoneQuery("UPDATE `dede_vote` SET totalcount='".($this->VoteInfos['totalcount']+1)."', votenot…

在使用织梦DedeCMS的过程中,出于伪原创或者其他的原因,我们需要对文档的内容.标题.描述等等进行同义词或者其他的替换.这个就是一个简单的织梦SQL语句操作的问题,No牛网在织梦DedeCMS常用SQL语句整理一文中已经对织梦常用的SQL语句进行了一个总结,需要的朋友可以去看一下. 其他的织梦SQL语句就不多介绍了,这里主要说一下织梦的SQL批量替换语句.通用的织梦SQL批量替换语句的格式是下面这样子的: 1 update '表名' set body=replace(字段名,'需要替换的','…

使用织梦DedeCMS系统程序开发网站中,我们会遇到很多因网页版面设计限定的宽度,使文章标题需要进行字数限制,通常做法是在a标签中加入一个title属性,让鼠标放上去的时候显示完整标题.但是标题被剪裁掉一些字符而不完整,广信之家小编为你推荐另外几种标题调用方式,如进行标题判断,DedeCMS判断简略标题为空时则显示完整标题.具体方法如下:   方法一:  {dede:field name='array' runphp='yes'} if (@me['shorttitle']=='') @me=@…

漏洞版本: DedeCmsV5.6 漏洞描述: DedeCMS内容管理系统软件采用XML名字空间风格核心模板:模板全部使用文件形式保存,对用户设计模板.网站升级转移均提供很大的便利,健壮的模板标签为站长DIY 自己的网站提供了强有力的支持. 1 <?php 02 require_once (dirname(__FILE__) . "/../include/common.inc.php"); 03 define('_PLUS_TPL_', DEDEROOT.'/templets/p…

织梦dedecms出现系统基本参数空白或显示Call to undefined function make_hash() 最新的织梦版本(2018-01-09)修改了include文件夹中的common.func.php,增加了两个函数. 下载的模板文件夹中如果提供了common.func.php文件,很有可能没有这两个函数,于是会造成错误. 需要将这两个函数的代码粘贴到/include/common.func.php文件中,代码如下: function make_hash(){    $ran…

织梦dedecms是新手站长使用得比较多的一个建站开源程序,正因如此,也是被被入侵挂马比较多的程序.下面就来跟大家说一下怎么重新命名dedecms的include文件夹以及plus文件夹来提高网站的安全性,减少被黑客软件扫描到漏洞的概率. dedecms的漏洞主要集中在data.include.plus.dede.member几个文件夹中的php文件里,对于data这个文件夹我们可以把它移到网站的根目录外,dede可以冲命名,member可以删掉,一般用不着,special专题功能 instal…

漏洞版本: DedeCmsV5.6 漏洞描述: DedeCMS内容管理系统软件采用XML名字空间风格核心模板:模板全部使用文件形式保存,对用户设计模板.网站升级转移均提供很大的便利,健壮的模板标签为站长DIY 自己的网站提供了强有力的支持. edit_face.php else if($dopost=='delold') //45行 { if(empty($oldface)) { ShowMsg("没有可删除的头像!", "-1"); exit(); } $user…

dedecms/' target='_blank'>织梦dedecms建站系统自从2015.06.18号升级后,系统增加了最强的手机站功能,模板与PC模板分开,标签90%类似,数据同步,很牛很强大,唯一缺点就是URL动态的,今天我们建站堂就来和大家分享下织梦默认手机站地址 /m/ 改成 M.域名. 首先你的主机需要支持绑定子目录或者是独立服务器,才可以进行绑定子域名.意思就是:如果你使用的是各服务器供应商的虚拟主机空间的话,就需要先确定你的空间或主机能不能绑定其它域名,那如果你使用的是服务器或V…

漏洞版本: Dedecms 5.5 漏洞描述: 漏洞产生文件位于include\dialog\select_soft_post.php,其变量$cfg_basedir没有正确初始化,导致可以饶过身份认证和系统变量初始化文件,导致可以上传任意文件到指定目录.其漏洞利用前提是register_globals=on,可以通过自定义表单为相关的变量赋值. <* 参考 by:Flyh4thttp://sebug.net/appdir/织梦(DedeCms) *> 测试方法: @Sebug.net   d…

这个方法可以判断出目标网站所使用的织梦DedeCms是哪个版本的,打了哪一天的补丁. 在需要判断网站织梦版本的的URL路径后面添加/data/admin/ver.txt 如官方的:http://www.dedecms.com/data/admin/ver.txt 附加历史更新: 2010-08-18 安全更新 2010-08-03 安全更新 20100708是最新版本5.6 20100324是5.5 20100429之后都是5.6版本,对应的日期为补丁的日期,可以知道什么漏洞没补 5.6版本更新…

今天分享下整理了织梦dedecms标签调用集合,绝对是仿站必备利器啊,觉得有用就转走吧!温馨小提示:CTRL+F 搜索你需要的标签名,就可以方便找到:织梦dedecms标签调用集合-首页标签:网站导航标签: {dede:channel row="10" type="top" col="1" currentstyle="<li class='hover'><a href='~typelink~' ~rel~><…

首先需要说明的是,任何程序都是有漏洞的,我们需要做好一些必要的防范,来减少由于程序漏洞造成的损失.织梦的漏洞多,这个是很多人的想法.不过大家如果做好了织梦系统的文件夹权限什么的设置,很多漏洞也是用不上的. 这些安全措施,织梦官方已经给出过很多教程了,如织梦后台中uploads等文件夹执行php文件权限的问题.今天主要说的就是Nginx下取消织梦uploads文件夹权限的问题.如果是在Apache中,可以在.htaccess中通过如下的代码解决: RewriteEngine on  Rewrite…

织梦DedeCMS是一款非常流行的CMS,很多刚开始建站人都用的织梦,一方面是织梦比较容易操作;另一方面是织梦的SEO方面做的确实比其他的系统要好一些.这些都导致织梦的用户群是非常庞大的,用的人多了,漏洞自然就多起来,所以织梦的安全性为大家所诟病,很多人在使用中经常会遇到或者担心网站挂马.这里No牛网特意整理一篇关于织梦DedeCMS安全设置的文章,希望对使用织梦的朋友有点帮助. 一般使用织梦建的站只要做到下面一系列针对DEDE网站的安全设置,基本可以避免99% 网站被挂马的情况. 一.精简程序…

1.进入后台后,点击 系统->系统基本参数->添加变量: 变量名称:cfg_safecheck_switch 变量值:N 变量类型:布尔(Y/N) 参数说明:启用安全监测系统: 2.找到系统后台目录(默认为dede)打开目录下的templets/index_body.htm文件 修改该文件18-35行修改为 <script type="text/javascript"> var safecheck_switch = "<?php echo $cf…

织梦DedeCms 有个标签可以调用相关文章,通过下面的修改可以调用全站的相关文章,文章页内显示相关文章内容,可以提高关键词密度,还是挺不错的. 模板调用代码 <div>     <dl>           <dt><strong>相关文章</strong></dt>               <dd>                  <ul>                       {dede:li…

织梦DedeCms的面包屑导航调用标签{dede:field name=’position’ /},在栏目页里调用的面包屑导航,最后会出现分割符号“>”,如:主页 > DedeCms 模板 > 用下面这两种方法可以将最后的分割符“>”,用如下代码调用面包屑导航标签: {dede:field name=’position’ runphp=’yes’} $a=mb_strlen(@me);//计算字符串的长度 @me=cn_substr(@me,$a-2,-1);//截取字符 {/de…