織夢CMS模板SQL注入漏洞

漏洞 dedecms模版SQL注入漏洞 簡介 DedeCMS V5.7 SP2正式版(2018-01-09) dedecms的/member/soft_add.php中，對輸入模板參數$servermsg1未進行嚴格過濾，導致攻擊者可構造模版閉合標簽，實現模版注入進行GETSHELL。 路徑 /member/soft_add.php...

織夢CMS后臺文件任意上傳漏洞

漏洞 dedecms后臺文件任意上傳漏洞 簡介 dedecms早期版本后臺存在大量的富文本編輯器，該控件提供了一些文件上傳接口，同時dedecms對上傳文件的后綴類型未進行嚴格的限制，這導致了黑客可以上傳WEBSHELL，獲取網站后...

DedeCMS <=5.7 SP2 file_class.php 任意文件上傳漏洞

漏洞 DedeCMS =5.7 SP2 file_class.php 任意文件上傳漏洞 簡介 dedecms v5.7 sp2截至2019年2月19日的版本中對編輯相冊文件上傳校驗不嚴導致可Getshell. 文件 /dede/file_class.php 修復 打開 /dede/file_class.php 找到大概在161行 else if (preg_mat...

織夢CMS取消數據庫錯誤日志生成文件功能有效防止暴露后臺和管理員

織夢程序在mysql錯誤時會自動在data文件夾里生成一個 mysql_error_trace.inc 文件記錄錯誤信息，很多時候這個文件的錯誤信息里有后臺目錄和管理員賬號信息在里面，我們其實大部分時候都不會去看這個文件的，所以關閉...

織夢dedecms百度快照劫持注入代碼防范

織夢百度快照劫持注入代碼防范及修正，很多站長做站的過程中，都碰過百度快照被劫持等問題，明明已經修復模板文件了，還是沒有更新回正常的快照，以織夢系統為例， 往往根目錄/index.php也被植入惡意代碼 比如...

織夢增強安全，防止網站掛馬

有很多站長說織夢的安全性不夠，漏洞太多，很多人都因為這個放棄了織夢CMS。但是要知道網站安全都是服務器配置、文件權限控制和網站程序三者的相互配合，世界上沒有絕對安全的程序，但是我們可以通過對織夢...