常见的cms以及对应cms的历史漏洞

最新推荐文章于 2024-08-03 14:16:19 发布
最新推荐文章于 2024-08-03 14:16:19 发布
阅读量162 收藏
点赞数
文章标签: 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_79328240/article/details/134698311
版权

CMS概念

        CMS是Content Management System(内容管理系统)的缩写,它是一种软件系统,允许用户在无需编程或设计技能的情况下创建、编辑和管理网站内容。通常,CMS提供了一个用户友好的界面,使得非技术背景的用户也能轻松地发布和更新网站上的信息。

常见CMS

  1. WordPress开源的博客和网站平台,以其丰富的主题和插件库而闻名。适合个人博客、小型企业网站以及大型商业项目。

  2. Joomla!:开源的内容管理系统,适用于创建复杂的多用户站点和社区门户。

  3. Drupal:灵活且强大的开源CMS,特别适合开发高度定制化的网站和应用程序。

  4. Magento:专为电子商务设计的开源 CMS,提供各种在线购物功能,支持多个商店和支付选项。

对应的历史漏洞

WordPress:

  1. CVE-2012-0285 跨站脚本(XSS)漏洞   影响版本:3.4.x 之前的版本   

  2. CVE-2012-2689: SQL 注入漏洞。影响版本:3.4.2 及之前版

  3. CVE-2014-7203: WordPress 的 wp-login.php 页面上存在一个跨站请求伪造(CSRF)漏洞。  影响版本:3.9.3 及之前版

  4. CVE-2015-5622:WordPress REST API 中的一个跨站脚本攻击(XSS)漏洞。 影响版本:4.2 到 4.2.2 版

  5. CVE-2016-6303:跨站脚本(XSS)漏洞。 影响版本:4.5.3 及之前版

  6. CVE-2017-6917:WordPress REST API 中的一个权限提升漏洞。 影响版本:4.7.0 到 4.7.2 版本

  7. CVE-2018-6389:WordPress 的 DoS 漏洞

  8. CVE-2018-12603:WordPress XML-RPC 接口中的拒绝服务(DoS)漏洞。 影响版本:4.7.0 到 4.9.5 版

Joomla!

CVE-2015-8562: Joomla! 1.5.0至3.4.5版本中存在的漏洞,可能导致跨站脚本攻击(XSS)。

CVE-2014-8686: Joomla! 3.3.0至3.3.6版本中存在的漏洞,可能允许攻击者执行任意PHP代码。

CVE-2023-23752: 未授权访问漏洞   影响版本:4.0.0 到 4.2.

Drupal

CVE-2018-7602: Drupal 7.x和8.x版本中存在的漏洞,可能导致远程代码执行。

CVE-2014-3515: Drupal 7.x版本中的安全漏洞,可能导致拒绝服务攻击(DoS)

Magento

CVE-2018-13024 任意文件写入漏洞

迷途小码匠
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
常见漏洞危害总结
m0_56578216的博客
10-20 437
XSS的危害与JS的功能有关。主要有以下几个危害:一是弹窗。比如用alert(/xss/)在有XSS的地方弹窗,造成骚扰;二是盗取账号。在用户误点后出现弹窗会将攻击者盗取账号信息;三是盗取cookie。比如储存型XSS在留言板被点击后就会造成cookie泄露,攻击者可以不需要用户名密码就用cookie登录后台。
信息安全常见漏洞
weixin_42177729的博客
05-19 1386
一、SQL 注入漏洞 SQL 注入攻击( SQL Injection ),简称注入攻击、SQL 注入,被广泛用 于非法获取网站控制权, 是发生在应用程序的数据库层上的安全漏洞。在设计程序, 忽略了对输入字符串中夹带的SQL 指令的检查,被数据库误认为是正常的SQL 指 令而运行,从而使数据库受到攻击,可能导致数据被窃取、更改、删除,以及进一 步导致网站被嵌入恶意代码、被植入后门程序等危害。 通常情况下, SQL 注入的位置包括: (1)表单提交,主要是POST 请求,也包括GET 请求; (2)URL 参数
bagecms漏洞测试版
03-06
包含漏洞的一套bagecms源码,比较适合用来做挖洞测试,有需要可以下载
常见CMS漏洞
最新发布
C233333235的博客
08-03 640
通过⽇志⽂件拿Shell 利⽤mysql⽇志⽂件写shell,这个⽇志可以在mysql⾥改变它的存放位置,登录phpmyadmin可以修改 这个存放位置,并且可以修改它的后缀名。查到数据库位置后,就可以大概猜测一下网站的根目录,一般www目录在phpstudt_pro下,是Extensions的同级目录。以确认我们的修改生效了,修改成功后,日志文件的后缀就被修改成了php,那么其中的php语句就会被运行。这样日志文件中就会有这个一句话木马的字样,我们去访问日志文件后,就可以进行连接获取shell。
CMS漏洞(发货100CMS、SHECMS、ZHCMS、MACCMS)详解实战
xinyue9966的博客
02-18 7718
CMS漏洞发货100CMS(弱口令)介绍系统版本靶场搭建漏洞复现修复方案SHECMS(SQL注入)介绍系统版本靶场搭建漏洞复现修复方案ZHCMS(文件上传)介绍系统版本靶场搭建漏洞复现修复方案MACCMS(CNVD-2019-43865)介绍系统版本靶场搭建漏洞复现修复方案 发货100CMS(弱口令) 介绍 弱口令漏洞 由于网站用户帐号存在弱口令,导致攻击者通过弱口令可轻松登录到网站中,从而进行下一步的攻击,如上传webshell,获取敏感数据。另外攻击者利用弱口令登录网站管理后台,可执行任意管理员的操作
CMS漏洞总结
include_voidmain的博客
08-01 4784
CMS漏洞总结
常见CMS及其漏洞
ChiYanq7ng的博客
11-24 337
综上以上的一些cms网站相对内容是免费的比较适用于小型和个人的门户,对自己想要的网站已经拥有了规定的整体架构,直接复制粘贴到规定的目录中就可以进行使用。一般的免费网站所给的是用PHP+mysql结合的后端形式,前端已经有了一定的规定范式,如果自己有自己的意愿可以进行修改,往前端添加自己喜欢的元素和相应的内容。除了擦除整个WordPress安装的可能性,如果没有可用的当前备份可能会带来灾难性的后果,攻击者可以利用任意文件删除的能力来规避一些安全措施并在Web服务器上执行任意代码。Discuz ML!
多米cms(duomicms)变量覆盖漏洞(超详细)
kiwi的博客
11-01 901
本文章我借鉴了代码审计实战 - FreeBuf网络安全行业门户的文章,文章写的比较详细,大家也可以看看他写的文章。
2024HVV在即| 最新漏洞CVE库(1.5W)与历史漏洞POC总结分享!
记录开发和安全学习过程中的点点滴滴
04-22 1787
也快到护网的时间了,每年的护网都是一场攻防实战的盛宴,那么漏洞库就是攻防红蓝双方人员的弹药库,红队人员可以通过工具进行监测是否存在历史漏洞方便快速打点,而蓝队则可以对资产进行梳理和监测历史漏洞,及时处理和修复,做好准备.
bolt cms V3.7.0 xss和远程代码执行漏洞
ordar123的博客
08-30 997
bolt cms V3.7.0 xss和远程代码执行漏洞 文章目录bolt cms V3.7.0 xss和远程代码执行漏洞1. 漏洞环境搭建2. 漏洞分析3. 漏洞测试1. xss2. 远程代码执行4. 影响版本5. 防御方案6. 漏洞细节参考 1. 漏洞环境搭建 github上下载对应版本,这里下载3.7.0. https://github.com/bolt/bolt/releases 解压后需要重命名以下文件: mv .bolt.yml.dist .bolt.yml mv composer.json
常见漏洞类型汇总
Jasper的博客
11-18 3788
一、SQL注入漏洞 SQL注入攻击(SQL Injection),简称注入攻击、SQL注入,被广泛用于非法获取网站控制权,是发生在应用程序的数据库层上的安全漏洞。在设计程序,忽略了对输入字符串中夹带的SQL指令的检查,被数据库误认为是正常的SQL指令而运行,从而使数据库受到攻击,可能导致数据被窃取、更改、删除,以及进一步导致网站被嵌入恶意代码、被植入后门程序等危害。 SQL注入的位置 (1)表...
aspcms版本漏洞0day集合
weixin_33889665的博客
11-03 2174
admin/_content/_About/AspCms_AboutEdit.asp?id=19and1=2unionselect1,2,3,4,5,loginname,7,8,9,password,11,12,13,14,15,16,17,18,19,20,21,22,23,24fromaspcms_userwhereuserid=1———————————...
最新Web安全 EmpireCMS漏洞常见漏洞分析及复现(1),2024年最新2024最新中高阶网络安全面试题总结
2401_84296945的博客
05-14 577
我们知道secure_file_priv这个参数在mysql的配置文件里起到的是能否写入的作用,当secure_file_priv = 为空,则可以写入sql语句到数据库,当secure_file_priv = NULL,则不可以往数据库里写sql语句,当secure_file_priv = /xxx,一个指定目录的时候,就只能往这个指定的目录里面写东西。网安所有方向的技术点做的整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。
cms 及其漏洞
2301_79089748的博客
11-24 678
案例a. SQL 注入:Magento 中的 SQL 注入漏洞可以让攻击者通过提交恶意 SQL 查询获取网站数据。b. XSS 攻击:Magento 中的 XSS 攻击可以让攻击者注入恶意 JavaScript 或 HTML 代码,从而更改网站内容。c. 文件包含漏洞:Magento 中的文件包含漏洞可以让攻击者上传恶意文件,从而获取网站数据。
常见cms以及对应cms历史漏洞
WSGWZlz的博客
11-24 1177
WordPress 是最流行的开源CMS之一,用于创建博客和网站。它具有丰富的插件生态系统,易于使用,并支持大量主题。Joomla!是一个强大的开源CMS,适用于创建各种类型的网站。它提供丰富的扩展和模块,可用于定制网站功能。Drupal 是一款灵活的开源CMS,适用于创建各种类型的网站,从个人博客到企业级门户。它具有强大的模块化和可扩展性。: Metinfo是一款专注于企业建站的CMS,适用于企事业单位的网站建设。它提供了丰富的功能和模块,以满足企业网站的需求。
CTF--CMS漏洞总结
热门推荐
woshisz0413的博客
11-27 1万+
CMS漏洞总结 CMS类型题目: 首先判断CMS类型,再查询该CMS曾经出现的漏洞,利用漏洞获取用户名(admin)、密码后进入管理员界面查找注入; 或者上传一句话木马后使用菜刀连接,可能再连接数据库。 (1)CMSEASY类型 可用公开漏洞网站:https://www.seebug.org/appdir/CmsEasy 1.cmseasy 无限制报错注入 步骤:向http://*****/cel...
CMS漏洞复现
qq_44832048的博客
07-19 9839
dedeCMS (CNVD-2018-01221) 类型: php类cms系统:dedecms、帝国cms、php168、phpcmscmstop、discuz、phpwind等asp类cms系统:zblog、KingCMS等国外的著名cms系统:joomla、WordPress 、magento、drupal 、mambo。 dedeCMS (CNVD-2018-01221) 漏洞简介...
CMS常规漏洞审计
weixin_43263451的博客
04-01 3155
这个文章主要是记录一些我在审计过程中一些比较常规比较简单的漏洞,后续会一直更新 Discuz Discuz! X 3.4 admincp_misc.php SQL注入漏洞 这个漏洞就是没有对输入进行过滤导致的,没啥好说的 source\admincp\admincp_misc.php 721行 复现 Discuz ML! V3.X 代码注入漏洞 复现 参考链接: https://www.anquanke.com/post/id/181887 Joomla SESSION反序列化导致的rce 大概就是
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值