DedeCMS個人網站常見漏洞有哪些

2017年3月20日17:28:07 發表評論

阿里云服務器

DedeCMS是一款開源的PHP網站內容管理系統,由于簡單、靈活,很多站點都是基于織夢CMS搭建、二次開發,特別是DEDECMS仿站是一些站長比較喜歡的。用dedecms建站都知道它的版本經常更新升級,用戶多,程序漏洞層出不窮。下面介紹DedeCMS個人網站常見的一些漏洞。

DedeCMS個人網站常見漏洞有哪些

1、SQL注入漏洞

SQL注入漏洞是目前互聯網最常見也是影響非常廣泛的漏洞。由于編寫代碼時沒有對用戶輸入數據的合法性進行判斷,使應用程序存在安全隱患。攻擊者通過在應用程序中預先定義好的查詢語句結尾加上額外的SQL語句元素,就可以欺騙數據庫服務器執行非授權的任意查詢。

攻擊者利用該漏洞可能導致:1.網頁被篡改。2.數據被篡改。3. 核心數據被竊取。4. 數據庫所在服務器被攻擊變成傀儡主機。

2、Dedecms recommend.php SQL注入漏洞

SQL注入攻擊就是攻擊者通過欺騙數據庫服務器執行非授權的任意查詢過程。漏洞文件recommend.php,某處處理不當,導致繞過形成漏洞。被SQL注入后可能導致:網頁被篡改、數據被篡改、核心數據被竊取、數據庫所在服務器被攻擊變成傀儡主機。

3、Dedecms 搜索模塊sql注入

Search模塊對外部輸入參數過濾不嚴謹,導致產生了sql注入漏洞。Dedecms plus/search.php 文件存在變量覆蓋漏洞,導致$typeid能被二次覆蓋,產生sql注入漏洞。

4、Dedecms最新變量覆蓋漏洞

漏洞文件/include/common.inc.php,檢查外部變量存在缺陷,導致可以任意覆蓋任意全局變量。

黑客可以通過此漏洞來重定義數據庫連接,通過此漏洞進行各種越權操作構造漏洞直接寫入webshell后門。

5、Dedecms recommend.php title XSS漏洞

跨站腳本攻擊就是指惡意攻擊者向網頁中插入一段惡意代碼,當用戶瀏覽該網頁時,嵌入到網頁中的惡意代碼就會被執行。一般用來盜取瀏覽器cookie。惡意用戶可以使用該漏洞來盜取用戶賬戶信息、模擬其他用戶身份登錄,更甚至可以修改網頁呈現給其他用戶的內容。

Dedecms漏洞一般都是低版本的系統程序,且XSS漏洞與sql注入常見,所以大家在用織夢CMS建站時,下載或升級最新版本,并根據網站后臺提示修改設置。如果站長用的是云服務建站,服務器如何配置也很重要。

maolai

發表評論

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: