POST TIME:2017-11-13 00:29
織夢DedeCMS的好處什么的就不說了,今天主要講一下織夢默認(rèn)的設(shè)置里面一些可能會暴露網(wǎng)站模板路徑的安全隱患。有人會說織夢模板的路徑暴露了有什么的,當(dāng)然這個路徑是非常重要的了,如果你的系統(tǒng)未進(jìn)行一些相關(guān)的設(shè)置,在知道你的織夢網(wǎng)站模板路徑的情況下,是可以直接下載你的網(wǎng)站模板的。因?yàn)榭棄舻哪0逦募?htm結(jié)尾的文件,直接在瀏覽器中輸入模板文件的地址,就會看到模板的內(nèi)容了。
當(dāng)然,出現(xiàn)這樣的情況主要還是大家的安全意識不大強(qiáng),任何以.htm或者.html為后綴的網(wǎng)站模板都是可以直接下載的。要避免這種情況出現(xiàn),只需要進(jìn)行一些簡單的模板防盜的措施就可以了。在織夢DedeCMS模板防盜的四種方法一文就有詳細(xì)的講解,有興趣的朋友可以去看一下。今天主要跟大家分享一個DEDECMS默認(rèn)友情鏈接等頁面可能暴露網(wǎng)站模板路徑的安全隱患。
接觸過織夢DedeCMS的朋友都知道,友情鏈接路徑是plus/flink.php以及申請鏈接路徑地址是plus/flink_add.php,相信很多站長沒有注意到,這些看似正常的鏈接路徑,卻存在一個極其問題,那就是模版路徑被知曉。當(dāng)然,plus下面的諸如search.php都同樣有暴露網(wǎng)站模板路徑的風(fēng)險(xiǎn)的。
首先,我們先在本地測試揭曉存在的問題。以下是默認(rèn)的織夢首頁的添加友情鏈接頁面截圖:
我們點(diǎn)擊所有鏈接,打開了申請友情鏈接頁面:
上圖中地址欄的地址即是點(diǎn)擊所有鏈接的相對應(yīng)地址了,那么我們復(fù)制圖中的logo圖片地址。
上圖中就是logo圖片的地址了,那么我們把images/logo.gif 替換成index.htm,就可以看到如下圖所示的界面了。
大家看到了什么,這個就是默認(rèn)的首頁模板呀。如果你的其他的模板文件也是根據(jù)織夢的默認(rèn)的文件來命名的,那就可以繼續(xù)通過article_article.htm訪問文章頁面的模板。雖然織夢仿站不是一件太困難的事情,但是總比這樣直接就把你的模板下載下來要耗費(fèi)更多的時間吧。如果這個人是你的競爭對手,把你的網(wǎng)站模板到處散發(fā),然后就有無數(shù)個和你網(wǎng)站一模一樣的網(wǎng)站了。
如何處理織夢DedeCMS默認(rèn)友情鏈接等頁面的安全隱患這樣的問題呢?覺得,一方面是做減法,凡是自己網(wǎng)站用不到的功能文件,統(tǒng)統(tǒng)刪除掉;二是注意不要把圖片、css、js等文件放在模板目錄中。當(dāng)然,還需要加強(qiáng)織夢系統(tǒng)本身的安全,做好一些安全設(shè)置等。
| ? |
|
|
|
|||||||||||||||
| 全國咨詢熱線 | |||||||||||||||||
| 400-1100-266 | |||||||||||||||||
| 在線客服( QQ:340506921 ) | |||||||||||||||||
 |
|||||||||||||||||
