事隔多年后的公元2021年9月26日,织梦dedecms更新了版本信息及部分补丁。但是紧跟着的这个操作就厉害了!虽说要尊重知识版权,但是一个有着臃肿代码以及大量漏洞的cms,竟然开口就一口价5800,也未免太那啥了点吧,虽然我早已抛弃了dedecms,但是对这种养肥了杀的神操作,我还是觉得有点不可理喻,据说已经有企业已经收到织梦的函了,有用到dedecms建站的企业和个人需要注意一下。
1、如何测试XSS漏洞XSS跨站漏洞分为大致三种:储存型XSS,反射型XSS,和DOM型XSS,一般都是由于网站对用户输入的参数过滤不严格而调用浏览器的JS而产生的。XSS几乎每个网站都存在,google,百度,360等都存在,存在和危害范围广,危害安全性大。具体利用的话:储存型XSS,一般是构造一个比如说的JS的弹窗代码进行测试,看是否提交后在页面弹窗,这种储存型XSS是被写入到页面当中的,如果管理员不处理,那么将永久存在,这种XSS攻击者可以通过留言等提交方式,把恶意代码植入到服务器网站上,一般用于盗取COOKIE获取管理员的信息和权限。
2、阿里云后台提醒的织梦漏洞可以进行修复吗他们提供的修复方案是需要增加服务的,织梦针对安全问题做了一系列的安全设置,只要注意这些就不会有太大的问题。1、以下目录:data、templets、uploads、a设置可读写不可执行权限。其中a目录为文档HTML默认保存路径,可以在后台进行更改;2、以下目录:include、member、plus、dede设置为可读可执行不可写入权限。
3、如果不需要使用会员、专题,可以直接删除member、special目录;4、删除install安装目录;5、管理员帐号密码尽量设置复杂,发布文章可以新建频道管理员,并且只给予相关权限;6、Mysql数据库链接,不使用root用户,单独建立新用户,并给予:SELECT、INSERT、UPDATE、DELETE、CREATE、DROP、INDEX、ALTER、CREATETEMPORARYTABLES权限;
3、织梦dedecms后台管理账号和密码被篡改,请问如何找到这个漏洞织梦漏洞超多,建议用帝国cms很安全2009后就没爆过漏洞。plus文件夹里没用的文件备份后删除,如果你不确定,那么就都删除,因为plus文件中除了搜索功能以外没有特别常用且必须使用的功能。如果网站用不到会员功能,那么后台关闭会员功能,备份并删除member文件夹,目前的漏洞一般都是基于此。另外后台路径修改,然后检查网站文件有没有被上传木马,把木马文件都删除。
