DEDE CMS 是免费开源的。以简单、实用、开源而闻名,是国内最知名的PHP开源网站管理系统,也是使用用户最多的PHP类CMS系统,在经历多年的发展,版本无论在功能,还是在易用性方面,都有了长足的发展和进步。
成都创新互联-专业网站定制、快速模板网站建设、高性价比鼎城网站开发、企业建站全套包干低至880元,成熟完善的模板库,直接使用。一站式鼎城网站制作公司更省心,省钱,快速模板网站建设找我们,业务覆盖鼎城地区。费用合理售后完善,十多年实体公司更值得信赖。
DEDE CMS是存在一定的漏洞。梦作为一个国内开源cms,社区缺乏更好技术支持和环境,所以漏洞频发。
2011-8-19,DedeCMS全局变量初始化存在漏洞。描述:可能导致黑客利用漏洞侵入使用Dede CMS的网站服务器,造成网站用户数据泄露、页面被恶意篡改等严重后果。
2012-3-21,DedeCMS官方源码被植入后门 。描述:导致黑客可以执行任意代码从而控制整个网站或服务器。
2013-3-29,DedeCMS安全漏洞。描述:“本地文件包含漏洞”,发现时为“0day”,官方已修复。
扩展资料:
dedecms优缺点分析:
优点:
易用:使用织梦你可以用十分钟学习它,十分钟搭建一个。完善:织梦基本包含了一个常规网站需要的一切功能。丰富的资料:作为一个国内cms,织梦拥有完善的中文学习资料。丰富的模版:织梦拥有大量免费的漂亮模版,可以自由的使用它们。
缺点:
缺乏灵活性:高度的功能集成造成了织梦灵活性的缺失,所以织梦扩展性并不是很好。安全:织梦作为一个国内开源cms,社区缺乏更好技术支持和环境,所以漏洞频发。社区:织梦的官方社区是收费的,这对于一个开源项目来说本身就是一个问题。
参考资料来源:百度百科-织梦
帝国EmpireCMS7.5最新后台漏洞审计
1概述
最近在做审计和WAF规则的编写,在CNVD和CNNVD等漏洞平台寻找各类CMS漏洞研究编写规则时顺便抽空对国内一些小的CMS进行了审计,另外也由于代码审计接触时间不是太常,最近一段时间也跟着公司审计项目再次重新的学习代码审计知识,对于入行已久的各位审计大佬来说,自己算是新手了。对于审计也正在不断的学习和积累中。于是抽空在CNVD上选取了一个国内小型CMS进行审计,此次审计的CMS为EmpireCMS_V7.5版本。从官方下载EmpireCMS_V7.5后进行审计,审计过程中主要发现有三处漏洞(应该还有其他漏洞暂未审计):配置文件写入、后台代码执行及后台getshell,造成这几处漏洞的原因几乎是由于对输入输出参数未作过滤和验证所导致。
2前言
帝国网站管理英文译为”EmpireCMS”,它是基于B/S结构,安全、稳定、强大、灵活的网站管理系统.帝国CMS 7.5采用了系统模型功能:用户通过此功能可直接在后台扩展与实现各种系统,如产品、房产、供求…等等系统,因此特性,帝国CMS系统又被誉为“万能建站工具”;大容量数据结构设计;高安全严谨设计;采用了模板分离功能:把内容与界面完全分离,灵活的标签+用户自定义标签,使之能实现各式各样的网站页面与风格;栏目无限级分类;前台全部静态:可承受强大的访问量;强大的信息采集功能;超强广告管理功能……
3代码审计部分
拿到该CMS后先把握大局按照往常一样先熟悉该CMS网站基本结构、入口文件、配置文件及过滤,常见的审计方法一般是:通读全文发(针对一些小型CMS)、敏感函数回溯法以及定向功能分析法,自己平常做审计过程中这几个方法用的也比较多。在把握其大局熟悉结构后,再通过本地安装去了解该CMS的一些逻辑业务功能并结合黑盒进行审计,有时候黑盒测试会做到事半功倍。
常见的漏洞个人总结有:
1)程序初始化安装
2)站点信息泄漏
3)文件上传
4)文件管理
5)登陆认证
6)数据库备份
7)找回密码
8)验证码
若各位大佬在审计过程中还有发现其他漏洞可补充交流。
应该好好检查下网站程序有无隐藏后门 是否被经常篡改
核心的操作点在于服务器端以及网站本身的安全设置,其方法包括但不限于以下几种:
1:服务器日志的定期查看,主要看是否有可疑的针对网站页面的访问。
2:通过ftp查看网站文件的修改时间,看时间上是否有异常。
3:核查网站程序是否需要更新,如果有,可第一时间更新到最新版本。
4:如果网站使用第三方插件,请确认其来源,同时评估这些插件的安全性能。
5:修改建站程序重要的文件名称,修改默认的后台登录地址,防止黑客利用软件自动扫描特定文件以获取相应权限。
6:将ftp,域名,空间,网站后台登录的用户名以及密码设置得尽可能复杂,万不可使用弱口令。
7:选择口碑好,技术强的服务器空间服务商如万网。
8:如有可能,尽可能关闭不需要的端口,限制不必要的上传功能。
9:服务器端设置防火墙等,通常需要与空间服务商沟通,让其代为设置。
建议找专业的安全公司来解决,国内也就Sinesafe和绿盟等安全公司 比较专业.
我们需要做的就是让网站自身的安全性更高,防止黑客获取我们网站相关的权限。
检测?恐怕没有这么智能,有没有限制域名最好的办法就是自己试,BUG也是人为发现的,没有智能工具,网站也是程序也是代码,只有开发者自己比较清楚网站有没有后门,或者拿到源码后让同是编程的人找有无后门,漏洞,工程量相当大