dedecms织梦安全设置漏洞修复大全

最新推荐文章于 2024-04-07 16:20:44 发布
最新推荐文章于 2024-04-07 16:20:44 发布
阅读量1.4k 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sqk210/article/details/83411692
版权

  删除member special install

打开plus文件夹除了下面几个文件 其他删除

Img 文件夹,这个是主要是CSS样式在里面,所以保留,如果删除了,会造成发布文章时界面有点乱,所以要保留ad_js.php 这个文件时广告位,因为有些模板用到了后台调用广告位,如果你不确定,建议保留

Diy.php 这个是留言系统,有些模板上有用户在线留言功能,用到的就是这个,如果你不确定,建议保留

Search.php 这个是搜索功能,也就是网站上的搜索,如果你不确定,建议保留

List.php 这动态栏目,有些用户喜欢动态栏目,有些站长喜好使用的是静态栏目,这个保留也没影响,所以建议保留

View.php 这个是动态文章,道理和list.php一样,建议保留。

count.php 这个是文章浏览次数,建议保留。

plus\guestbook留言板.

以下是可以删除的文件:

DEDE 管理目录下的这些文件是后台文件管理器,属于多余功能,而且最影响安全

file_manage_control.php

file_manage_main.php

file_manage_view.php

media_add.php

media_edit.php

media_main.php

再有:

不需要SQL命令运行器的将dede/sys_sql_query.php 文件删除。

不需要tag功能请将根目录下的tag.php删除。

不需要顶踩的请将根目录下的digg.php与diggindex.php删除。

任意文件上传漏洞修复

      一、/include/dialog/select_soft_post.php文件,搜索(大概在72行的样子)
      $fullfilename = $cfg_basedir.$activepath.'/'.$filename;
      修改为
      if (preg_match('#\.(php|pl|cgi|asp|aspx|jsp|php5|php4|php3|shtm|shtml)[^a-zA-Z0-9]+$#i', trim($filename))) { ShowMsg("你指定的文件名被系统禁止!",'javascript:;'); exit(); } $fullfilename = $cfg_basedi

最低0.47元/天 解锁文章
6148.net
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
漏洞复现-dedecms-文件上传】vulfocus/dedecms-cve_2019_8933
10-16 3461
dedecms-文件上传】后缀
dedecms 漏洞汇总
热门推荐
积木网络
02-29 1万+
Dedecms 5.6 rss注入漏洞   http://www.test.com/plus/rss.php?tid=1&_Cs[][1]=1&_Cs[2)) AND "'" AND updatexml(1,(SELECT CONCAT(0x5b,uname,0x3a,MID(pwd,4,16),0x5d) FROM dede_admin),1)#'][0]=1 DedeCms v5.6 嵌入
CVE-2023-2928 DedeCMS 文件包含漏洞getshell 漏洞分析
最新发布
shelter1234567的博客
04-07 875
这样的话一般的利用方式就不行了,好在cms没用禁用掉文件包含的逻辑,我们可以利用/admin/allowurl.txt 这个文件,实现文件包含任意代码执行。可以将用户输入的字符保存到/admin/allowurl.txt ,因为有stripslashes函数的过滤xss无效。file_manage_control.php 页面为用户提供了网站文件管理的功能,访问file_manage_control.php 利用文件包含构造1.php。尝试在php中或txt中添加php执行代码结果被检测了。
dedecms 文件上传 (CVE-2019-8933)漏洞复现
weixin_42675091的博客
09-03 3140
dedecms 文件上传 (CVE-2019-8933)
dedecms 漏洞_dedescan一款织梦漏洞扫描器
weixin_39661780的博客
11-29 1764
dedescan是一款可以扫描所有已公开的dedecms漏洞的扫描器。 ... ... ... ... ...
Dedecms V5.7 SP2版本漏洞利用
dahege666的博客
03-07 9403
一、环境搭建 系统:Win10(64位) 工具:Phpstudy 源码:DedeCMS-V5.7-GBK-SP2-Full 二、安装phpstudy https://www.xp.cn/download.html 安装完成后.... 三、下载dedecms源码 http://updatenew.dedecms.com/base-v57/package/DedeCMS-V5....
DeDecms(织梦CMS)最新版任意用户密码重置漏洞分析
3569
01-11 1万+
http://docs.ioin.in/writeup/xianzhi.aliyun.com/_forum_topic_1926/index.html DeDecms(织梦CMS) V5.7.72 正式版20180109 (最新版) 由于前台resetpassword.php中对接受的safeanswer参数类型比较不够严格,遭受弱类型比较攻击 导致了远程攻击者可以在前台会员中心绕过
wLHK-Dedecms漏洞整理.pdf
09-20
wLHK-Dedecms漏洞整理 从给定的文件信息中,...Dedecms漏洞整理报告中包含了多个漏洞,包括SQL注入漏洞、XSS漏洞等,这些漏洞可能会导致数据库中的数据泄露或修改,因此需要及时修复这些漏洞,以确保数据的安全性。
DEDECMS曝重大漏洞可获最高管理权限 提醒站长及时升级修复.docx
09-26
DEDECMS漏洞修复指南 DEDECMS是一款功能强大且流行的PHP开源网站内容管理系统,广泛应用...DEDECMS漏洞修复对网站安全非常重要,站长需要及时升级DEDECMS版本对漏洞进行修复,并加强网站安全意识,避免网站安全风险。
织梦dede5.8抢先体验版
09-26
在描述中提到,织梦dede5.8的新版本主要在安全性能上有了显著提升,这可能是修复了已知的安全漏洞,增强了对SQL注入、XSS跨站脚本等常见攻击的防护,以保护网站数据的安全。此外,提前体验版本让用户有机会在正式...
Dedecms_20150618_member_sqli (2).py
10-05
dedecms5.7sp1后台(要能够注册member的vip账户后台才可以)存在sql延时注入exp,用火狐得到账户登录的cookie替换,然后Python2.7跑脚本,from乌云雨神 http://www.hekaiyu.cn/hacker/3060.html
织梦仿站标签调用工具-织梦网站开发标签调用用具
12-22
同时,为了保证网站的安全性,务必从官方渠道或者可信来源下载此类工具,并定期检查更新,以修复可能存在的安全漏洞。 总的来说,织梦仿站标签调用工具织梦网站开发者的好帮手,它通过便捷的标签调用方式,降低了...
一款不错的织梦后台页面
11-16
5. **安全性**:织梦CMS不断更新,修复已知漏洞,提供了一定的安全保障,但用户仍需定期升级和做好安全防护。 二、安装过程 根据描述,我们可以这样安装修改后的织梦后台: 1. **解压下载的压缩包**:首先,将...
CVE-2018-20129-——DedeCMS V5.7 SP2前台文件上传漏洞
锋刃科技的博客
12-20 5604
0x01 漏洞概述 Desdev DedeCMS织梦内容管理系统)是中国卓卓网络(Desdev)科技有限公司的一套开源的集内容发布、编辑、管理检索等于一体的PHP网站内容管理系统(CMS)。 Desdev DedeCMS 5.7 SP2版本中的uploads/include/dialog/select_images_post.php文件存在文件上传漏洞,远程攻击者可利用该漏洞上传并执行任意PH...
Dedecms 最新版漏洞收集并复现学习
墨痕诉清风的博客
09-30 5398
在用户密码重置功能处,php存在弱类型比较,导致如果用户没有设置密保问题的情况下可以绕过验证密保问题,直接修改密码(管理员账户默认不设置密保问题)。这么一次过滤,直接粗暴的将一些特殊字符替换为空,那么我们就可以通过特殊字符绕过上面的全局文件名不能包含php字符的限制,比如文件名为。这样,由于index.php中我们可以控制返回一个输入值和这个输入值经过服务器处理后的md5值。我们可以看到当uid存在值时就会进入我们现在的代码中,当cookie中的last_vid中不存在值为空时,就会将uid值赋予过去,
dede常见漏洞以及解决方法
weixin_33674437的博客
09-03 308
   dede的漏洞公认的多,接手这个网站也接触了不少,现在就把几种接触到的或者了解到的漏洞记录下来,让大家可以提高警惕,防止网站被***。1.dede dialog目录下的配置文件漏洞    如果有能力的同学最好好好研究下这个目录下的文件,漏洞太多了,先只说我遇到的一处在include/dialog下的config.php第35行if($cuserLogin->getUserID() &...
Windows 7 / 2008 R2 SP1 RTM 全部版本官方下载
weixin_34390105的博客
03-11 6382
Windows 7 / Server 2008 R2Service Pack 1 (SP1 7601.17514.101119-1850) RTM 特别补充:这个Windows 7 / Server 2008 R2 SP1 (KB976932)的最终正式版包里包含迄今为止所有的Windows7 / Server 2008 R2 的补丁包,同时含有 RemoteFX ...
织梦dedeCMS search.php
09-28
织梦dedeCMS的search.php是一个用于搜索功能的页面。然而,根据您提供的引用内容,这些引用看起来是一些恶意攻击的尝试,试图通过检索search.php页面中的特定参数来执行SQL注入攻击。SQL注入是一种常见的网络攻击方式,攻击者试图通过在应用程序的输入字段中插入恶意的SQL代码来绕过验证和执行非授权的操作。 为了防止SQL注入攻击,开发者需要对输入参数进行合适的验证和过滤,并使用预处理语句或参数化查询来处理数据库查询。此外,保持应用程序和服务器的安全性也是非常重要的,包括定期更新和修补软件、使用强密码、限制对数据库的访问权限等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值