织梦DedeCMS默认友情链接等页面的安全隐患

织梦DedeCMS的好处什么的就不说了,今天主要讲一下织梦默认的设置里面一些可能会暴露网站模板路径的安全隐患。有人会说织梦模板的路径暴露了有什么的,当然这个路径是非常重要的了,如果你的系统未进行一些相关的设置,在知道你的织梦网站模板路径的情况

  织梦DedeCMS的好处什么的就不说了,今天主要讲一下织梦默认的设置里面一些可能会暴露网站模板路径的安全隐患。有人会说织梦模板的路径暴露了有什么的,当然这个路径是非常重要的了,如果你的系统未进行一些相关的设置,在知道你的织梦网站模板路径的情况下,是可以直接下载你的网站模板的。因为织梦的模板文件是.htm结尾的文件,直接在浏览器中输入模板文件的地址,就会看到模板的内容了。

  当然,出现这样的情况主要还是大家的安全意识不大强,任何以.htm或者.html为后缀的网站模板都是可以直接下载的。要避免这种情况出现,只需要进行一些简单的模板防盗的措施就可以了。在织梦DedeCMS模板防盗的四种方法一文就有详细的讲解,有兴趣的朋友可以去看一下。今天主要跟大家分享一个DEDECMS默认友情链接等页面可能暴露网站模板路径的安全隐患。

  接触过织梦DedeCMS的朋友都知道,友情链接路径是plus/flink.php以及申请链接路径地址是plus/flink_add.php,相信很多站长没有注意到,这些看似正常的链接路径,却存在一个极其问题,那就是模版路径被知晓。当然,plus下面的诸如search.php都同样有暴露网站模板路径的风险的。

  首先,我们先在本地测试揭晓存在的问题。以下是默认的织梦首页的添加友情链接页面截图:

织梦友链潜在风险

  我们点击所有链接,打开了申请友情链接页面:

织梦友链潜在风险2

  上图中地址栏的地址即是点击所有链接的相对应地址了,那么我们复制图中的logo图片地址。

 

  上图中就是logo图片的地址了,那么我们把images/logo.gif 替换成index.htm,就可以看到如下图所示的界面了。

友情链接等页面的安全隐患

  大家看到了什么,这个就是默认的首页模板呀。如果你的其他的模板文件也是根据织梦的默认的文件来命名的,那就可以继续通过article_article.htm访问文章页面的模板。虽然织梦仿站不是一件太困难的事情,但是总比这样直接就把你的模板下载下来要耗费更多的时间吧。如果这个人是你的竞争对手,把你的网站模板到处散发,然后就有无数个和你网站一模一样的网站了。

  如何处理织梦DedeCMS默认友情链接等页面的安全隐患这样的问题呢?觉得,一方面是做减法,凡是自己网站用不到的功能文件,统统删除掉;二是注意不要把图片、css、js等文件放在模板目录中。当然,还需要加强织梦系统本身的安全,做好一些安全设置等。

本站部分内容来源互联网,如果有图片或者内容侵犯您的权益请联系我们删除!

相关文档推荐

织梦DEDECMS 栏目文章文章命名规则修改, 每次添加栏目的时候 都要改文章命名规则,十分麻烦, 修改下面这个地方就可以一改永亦,织梦模板网为您解答 找到\include\common.inc.php 搜索 $cfg_df_namerule 把: $cfg_df_namerule = {typedir}/{Y}/{M}{D}/{aid
当我们通过{dede:arclist keyword=关键词}来调用文章列表时,你会发现只在其中一个栏目里生效,在其他栏目,仍然显示上一次的关键词。 原因是由于arclist的缓存导致的。 只需修改/include/taglib/arclist.lib.php文件,大概在384行: $taghash = md5(seriali
我们在使用织梦dedecms数据库内容替换时候,经常遇到 安全码 显示的无法识别或者不清晰,这个安全码的位置是在核心 - 批量维护 - 数据库内容替换,如果识别不了,这个页面还没有改变验证码的地方,只能重新刷新页面,如果我们不想要这个安全码的话,要怎么操
今天一个客户在安装织梦dedecms时候,安装完成后登录后台就出现Safe Alert Request Error step 2,常用dedecms的朋友都知道,这是织梦的安全机制,在程序觉得有sql注入等攻击时候,会有这种提示。 1、起初我以为是文件没传全,让这个朋友重新传了文件上去安
很多人在修改织梦会员中心模板的时候 会遇到 明明修改了,为什么还是原来样式?确认文件没有修改错误的情况下,可能是缓存问题,你 只要把 /data/tplcache/ 里面的文件全部删除,重新访问即可。
dede织梦搜索伪静态,伪静态设置成功后,访问URL地址效果如下: 搜索页 http://www.baidu.com/search/织梦.html 搜索分页 http://www.baidu.com/search/织梦-2.html 本教程也适用于手机端。 开启伪静态: 后台-系统参数-核心设置-开启伪静态 后台-系统参数-