织梦系统后台会员功能漏洞解决方案
“hongge305”通过精心收集,向本站投稿了7篇织梦系统后台会员功能漏洞解决方案,下面是小编整理后的织梦系统后台会员功能漏洞解决方案,欢迎您能喜欢,也请多多分享。
篇1:织梦系统后台会员功能漏洞解决方案
今天来说下很多DedeCMS用户难以解决的问题,就是后台超多的垃圾企业会员问题,这个是很头疼的问题,因为DEDE删除会员没有全部删除或者选择多个删除功能。所以很多网站有成百上千个垃圾会员,而且每天都发一些垃圾文章。删除起来又很困难,大家一定很头疼,下面就来用通俗易懂的图文方法来教大家。
一 会员权限设置
登陆DED后台——选择系统栏目——然后点击会员设置(如图)
然后找到会员使用权限开通状态这栏,DEDE默认选择是0也就是注册会员就能发布文章。大家修改成-10或者-1就可以了 我建议修改成-1。这样以后注册的垃圾会员就不能发表垃圾文章了。
二:删除全部垃圾会员:虽然谁可以先审核会员然后才让发文章 但是当你每天看到很多垃圾会员存在你网站会员系统中时,也会很头疼的,而且很容易漏点一些正规注册的会员。所以下面介绍一种直接全部删除垃圾会员的方法
这是一部分,大家应该看得出来其实都是一个人罢了或者都是用的一个软件群发的,
其实大家仔细观察这些垃圾会员,会发现他有个共同点就是都是企业用户,而且名字都一样,这也就给了我们一下全部删除会员的解决方法。
方法如下:登陆DEDE—然后点击系统设置—再然后SQL命令行工具如图
然后跟里面输入代码:
select * from dede_member 查询数据库会员表。delete from dede_member where mtype='企业' 按照企业字段删除会员表数据。
这个其实就是SQL 只要你找到表中各各属性字段就可以随意删除数据了。
篇2:织梦管理系统后台查找漏洞预警
有时在通过注射得到织梦程序的管理密码时,却发现找不到后台地址,
织梦管理系统后台查找漏洞预警
,
。
这个时候 大家可以尝试下在地址后面加上:/include/dialog/select_media.php?f=form1.murl
但不一定通杀。。
By:cast
篇3:织梦管理系统后台查找
有时在通过注射得到织梦程序的管理密码时,却发现找不到后台地址,
织梦管理系统后台查找
,
。
这个时候 大家可以尝试下在地址后面加上:/include/dialog/select_media.php?f=form1.murl
但不一定通杀。。
By:cast
篇4:织梦管理系统后台查找
有时在通过注射得到织梦程序的管理密码时,却发现找不到后台地址,。 这个时候 大家可以尝试下在地址后面加上:/include/dialog/select_media.php?f=form1.murl 但不一定通杀,
。
有时在通过注射得到织梦程序的管理密码时,却发现找不到后台地址。。
这个时候 大家可以尝试下在地址后面加上:/include/dialog/select_media.php?f=form1.murl
但不一定通杀。。
篇5:织梦dedecms管理系统后台查找
有时在通过注射得到织梦程序的管理密码时,却发现找不到后台地址,。
这个时候大家可以尝试下在地址后面加上:
1、/include/dialog/select_media.php?f=form1.murl
2、/include/dialog/select_soft.php
但不一定通杀。。
以下为逍遥复仇整理的dede一些小问题,希望对大家有用:
DedeCmsV5.1 FreeSP1
访问target.com/include/dialog/select_soft.php?activepath=/include/FCKeditor可以跳转目录
跳转到根目录的方法为:
target.com/include/dialog/select_soft.php?activepath=/././././././././
而且DEDECMS在访问不存在的目录时会报错
如访问target.com/include/dialog/select_soft.php?activepath=/st0pst0pst0pst0pst0pst0pst0pst0p
DedeCMS V5.3.1和最新的DedeCMS V5.5正式版,发现这两个版本已经进行了处理,而且只会列出目录和一些允许显示的文件,PHP是不能显示了,爆路径是一样通用的
构造target.com/include/dialog/select_soft.php?activepath=/include/FCKeditor也可以浏览此目录下的文件,当然你也可以跳到别的目录,但长度一定要大于设置中的目录,
不过前提是你要登陆下才能利用,这个就显得有点鸡肋了
另外一些低版本的DEDECMS访问这个页面的时候会直接跳过登陆验证,直接显示,而且还可以用/././././././././掉到根目录去。不过这些版本的访问地址有些不同。
地址为target.com/require/dialog/select_soft.php?activepath=/././././././././
篇6:织梦CMS挂马漏洞分析解决方案WEB安全
1.最笨的一种应该是直接修改生成的index.htm文件,一般在源代码底部加入一段
2.聪明一点的会修改模板文件,把templets目录下的主要文件源代码同样底部加入
3.稍微厉害一点的会把
4.还有一种是调用.js文件,混在网页中间,利用大多数网页都会有JS调用作为掩护,仔细查找就可以;
5.更高级一点的就是这次我遇到的,模板首页都会调用一个dedeajax.js的文件,他把代码加入到这里面去;
以上是比较常见的一些情况,然后仅仅是删除了木马代码而已,更重要的是要找到根源才行,这样才不会被再次中毒,
织梦CMS挂马漏洞分析解决方案WEB安全
,
根据上次官方发布的解决漏洞办法分析,大多数都是利用会员注册的上传文件漏洞伪装成rar,zip等文件把后门程序上传,从而获得管理权限。所以清楚了网页里的代码之后就要注意查找这些后门程序,大部分都是.php结尾的文件,打开之后显示一堆乱码,直接在upimg里的userup目录查找,如果你网站开的越久内容越多查找起来可能会比较麻烦,可以下载到本地用资源管理器查找*.php文件,找到一个删除一个。
最后的建议就是彻底关闭会员注册功能,或者会员上传功能,大部分个人网站都是用DEDECMS做一个内容发布的网站,很少有需要会员上传什么东西的,所以这个功能其实根本就没有用到,与其这样不如彻底关闭。一个搞安全的朋友告诉我最安全的网站就是全html的网站,能减少程序功能就尽量减少。
篇7:织梦CMS系统问答、留言本、评论页、会员空间等不能调用head头部
不少朋友需要再DedeCms的问答系统、php?tid=61' target='_blank'>评论页、留言本、会员空间等导航里调用系统标签,但默认是不支持系统标签调用的,需要对系统文件进行简单的修改,
第一步:DedeCMSv5.7系统打开“/include/extend.func.php”,该文件5.7版本默认存在。DedeCMS5.6系统可以加在/include/common.func.php结尾,v5.5的不存在,自己建一个common.func.php,放在include文件夹下。
然后在该文件中加入一个函数,代码如下:
function pasterTempletDiy($path)
{
require_once(DEDEINC.“/arc.partview.class.php”);
global $cfg_basedir,$cfg_templets_dir;
$tmpfile = $cfg_basedir.$cfg_templets_dir.“/”.$path;//模版文件的路径
$dtp = new PartView();
$dtp->SetTemplet($tmpfile);
$dtp->Display();
}
第二步,打开留言本的模版文件,默认的是/templets/plus/guestbook.htm,找到如下代码:
在其后,加入如下代码:
pasterTempletDiy(“default/head.htm”);
?>
注:留言本自带的头部代码,可以选择保留,也可以删除,代码为:
/">webname;?>
另外,DedeCms的问答、评论页、会员空间导航等,按上边的方法即可,
【织梦系统后台会员功能漏洞解决方案】相关文章:
1.织梦作文700字
2.织梦五年级作文
文档为doc格式
