dedecms又发现一个安全隐患

dedecms又发现一个安全隐患,大家要注意模板里调用的标签。

dedecms又发现一个安全隐患,大家要注意模板里调用的标签。

近期在vps检查各个站点的时候,打开一张图片却无法预览,本以为是坏掉的,准备就此删掉呢,闲的蛋疼用编辑器打开,不打开还好点,一打开吓了哥一跳,里面竟然是几行代码。。。如下代码既是:

<a href="http://www.xuejiqiao.com/" class="hapz" data_ue_src="http://www.xuejiqiao.com/">Booklet Printing</a><div type="text/css" _ue_div_style="1" _ue_org_tagname="style" _ue_style_data="%0Aa.hapz%20%7Bposition%3Aabsolute%3Bleft%3A-1200px%3B%7D%0A" _ue_custom_node_="1"></div>

不过里面的网址改为本站的了。

而且在首页模板里有一个调用的标签

{dede:include filename="tapz.gif"/}这要是猛的一看的话以为是网站调用的图片呢。但是网站一更新的话,在查看源代码里会发现有站外链接,在站长工具里查看反链也会发现。这是又一个加黑链的好方法啊。

不过我发现了怎么修改gif图片里,但是图片又预览不了的方法.dedecms又发现一个安全隐患

首先就是本地创建个txt文本,把所需要的代码写入txt文档,完毕后修改txt格式为gif的或者jpg。你在预览下图片是预览不了的,但是用代码编辑器,打开后就会发现里面是刚才写的代码,而且代码还没有乱码。其实一点也神奇,在it行业的,懂点计算机的,都知道这回事,但是我们从来没有把这些小知识用到工作生活里,所以当别人用的时候大吃一惊。才感悟到原来是这么一回事。

但是,回到安全话题上,别人怎么可能把代码写入到你的模板里呢,最好才看到,这个新站的后台登录路径没有修改,而且帐号和密码都是默认的。

有时候发现网站被挂黑链了,但是又不知道代码在哪,我们的第一反应就是js,或者php或者asp,看看有没有此类的,但是忽略了,我们常用的调用标签。

小编语:细节决定成败!

本站部分内容来源互联网,如果有图片或者内容侵犯您的权益请联系我们删除!

相关文档推荐

dedecms织梦无需登录注册可下单购买的修改,首先找到/plus/carbuaction.php文件,找到如下代码: //确认用户登录信息if($cfg_ml-IsLogin()){ $userid = $cfg_ml-M_ID;}else{ $username = trim($username); $password = trim($password); if(empty($username)
用过织梦dedecms的人都知道,织梦会员系统相当强大,跟论坛程序差不多,对于使用会员系统的人来说,织梦系统足够用的了,但是,有时候,织梦系统很多的地方又不是我们所希望,或都说,有的地方不适合我们使用,这时候就要对织梦会员系统进行二次开发,所以,
我们在用到织梦dedecms的会员功能时候,注册页面的注册项需要增加,比如想多加一个手机号的字段,需要怎么操作呢?下面我们以增加一个手机号的字段为例子 1、找到网站目录下的/member/templets/reg-new.htm,在合适位置增加一行表单,代码如下: lispan手机
SQL语句中,有统计的函数,我们可以通过在织梦中使用SQL语句统计的方法,在列表页内显示该栏目共有多少篇文章。这样做的好处是,有助于提升用 户体验。比如说我一个文章列表下面有10篇文章,就自动统计出10篇,到20篇的时候自动统计成20篇。这样用户对网站的
我们在做 织梦模板 开发时,有时需要在artlist 和list标签中调用出图集中的图片,同时可以自定调用几张图片。跟版网整理了个一个这样功能的自定义函数。调用后效果如下: dedecms织梦artlist和list标签调用图集图片实现方法 函数代码 请将代码加入到 /includ
json数据格式可以方便不同站点之间进行数据调用引用,当然我们的DEDECMS也可以实现全站数据生成JSON供其他站点调用,代码很简单,主要用到include/json.class.php。 织梦本身是自带json标签的,调用方法: {dede:json url=http://yoursite/json.php cache=300