如何防止黑客利用新的DeDeCMS漏洞入侵

時間 2022-02-26 03:10:13

1樓:別在回來找俄

開學了,返校了,又在宿舍上網了,但現在的校園網安全嗎?暑假中,dedecms系統曝出了嚴重的漏洞,這個系統在很多學校的校園網中存在,黑客利用該漏洞就可以控制校園網,進行掛馬、嵌入病毒……不過校園網中不乏電腦高手,下面我們就來看看「紅帽」同學對自己學校**的開學安全檢測。

我的網名叫「紅帽」,我猜每乙個大學校園裡,都有像我這樣的一號人,我們對電腦充分的了解,面對網際網路海洋時,就如同游泳池中的菲爾普斯一樣。無論你需要找到什麼東西,只要它存在於網際網路之中,或者在網際網路中生活過一段時間,我都能夠幫助你找到源頭,或者幫你把你感興趣的東西弄到手。你猜對了,我就是黑客,活躍在校園裡面的黑客。

我自認為算是高手,幫同學從別的黑客手裡盜取回被竊的賬號,在網咖讓乙個討厭鬼不停的更換電腦,也曾經嘗試著入侵nasa的計算機網路。

這段日子正是開學的日子,我準備對我的學校**進行了一次安全檢測。或許你要問,為什麼要對自己學校的**進行安全檢測?我們學校用了dedecms系統(中文名稱是織夢內容管理系統),這個系統在很多學校中被使用。

博弈主題:攻擊dedecms整站系統

技術難度:★★★★

重點知識:如何用新的dedecms漏洞來入侵

dedecms系統被很多學校使用並不能讓我產生檢測自己學校的**的念頭,真正讓我產生這個念頭的原因是這個系統最近曝出了嚴重的漏洞,不知道網管補上該漏洞沒有,如果沒有補上,大家回校後上校園網就危險了。

dedecms身藏url編碼漏洞

這次dedecms新出的漏洞是乙個url編譯碼漏洞,導致漏洞出現的原因是dedecms的設計者在等檔案中對orderby引數未做過濾。

黑客可以利用這些漏洞查詢資料庫的敏感資訊,例如管理員密碼、加密key等,一旦這些敏感資料被黑客掌握,要在校園網內掛馬就是輕而易舉的事情了,真危險。

小知識:編碼是將源物件內容按照一種標準轉換為一種標準格式內容。解碼是和編碼對應的,它使用和編碼相同的標準將編碼內容還原為最初的物件內容。

編譯碼的目的最初是為了加密資訊,經過加密的內容不知道編碼標準的人很難識別。

實戰入侵

既然知道了漏洞的成因,下面就來親手檢測一下。目前有兩種方案可以實現dedecms整站系統的入侵,一種是php指令碼的入侵方案,採用這種方案,需要先在自己的本機除錯好php解析環境,然後登入入侵的目標**,在php環境中執行漏洞測試**。不過這種方案實行起來相對複雜,因此我使用第二種進行檢測,通過漏洞檢測注入程式直接注入。

首先,登入學校的**。然後開啟《dedecms漏洞注入檢測程式》,點選「target

infomation」標籤選項,在「url」一項後面將尋找到的有dedecms系統漏洞的**複製貼上到位址輸入框,這裡利用dedecms的**路徑位址得到**的物理路徑。

在登入系統之後,複製瀏覽器位址列中的**路徑,例如[url=http://www.hacker.

然後複製貼上提交測試,貼上完成後點選「check」按鈕,測試**是否符合條件

2樓:匿名使用者

dedecms多年不更新了,我現在都用pageadmin了。

dedecms被黑客攻擊被黑客入侵,被掛黑鏈的處理方法,被黑怎麼辦

3樓:匿名使用者

dedecms最近頻繁出現安全漏洞,很多客戶**被黑,掛上木馬鏈結。

被黑都是由於沒有及時打上補丁,所以這裡提醒大家,經常進入後台檢查一下是否有補丁,發現有補丁及時打上。

1.由於dedecms開源,源**未經過任何加密,黑客可以分析程式源**來發現漏洞。

2.dedecms使用者數量驚人,國內有幾百萬**在使用,黑客一但發現漏洞,非法入侵**來謀取巨大利益也是重要的乙個原因。

3.織夢創始人it伯拉圖離開織夢以後,

dedecms長時間未有大的更新。

二、預防被黑客攻擊

1.網路上沒有絕對的安全,基本上所有做**的都有被黑經理,包含我們人,包含91dede.com都有被黑過。

2.防黑必須提高自身安全知識,選擇正規的空間商,自己的伺服器的話需要找專業的人配置環境,伺服器上能不裝的軟體一律不裝(包括所有防毒軟體都不要裝),伺服器上能不開的埠一律不開放。伺服器及時打上系統補丁。

3.dedecms一般漏洞被公布後一兩天官方就會出現補丁,大家發現有補丁馬上更新,一般情況下是輪不到你的**被黑,如果在第一時間還沒出補丁就被黑了,那麼恭喜你,你的**經營的不錯已經得到了廣大黑客的認可。。

三、被黑以後的處理

1.有備無患,大家一定要經常備份,選擇好點的空間商一般也會提供定期備份服務,不過大家最好還是自己定期備份,這樣不管出現任何問題,都可以還原備份來解決。

做為乙個**管理者,必須要努力提公升自我的安全意識。大概就寫這麼多了。。

**被黑客攻擊 **首頁的title 和後台的title變成了 什麼賭博的 怎麼解決啊 在哪能找到那串js 織夢後台

4樓:品牌那些事

這個**是已經嵌入到了模版中。把首頁已經生成的靜態內容刪除,重新生成靜態頁就可以了。看看官方的最新版本,加強自己**的內容。

5樓:諄誦罕

你的名字只有兩個字,雖構不成一句話,但已經裝滿了我的心  

去修手機,如何防止“新部件”被換走

一騎當後 去修手機,防止 新部件 被換走,方法如下 1 拿到官方指定的售後維修 2 維修的時候,自己一直在旁邊盯著 注意 換螢幕一般會拆卸很徹底,所以,建議別讓維修工將手機放在一堆配件的桌上拆卸。 到當地的指定客服部去修,雖然不能用保修,但還是可以維修的,只不過要花點錢。在客服修至少不至於會被人換了...

如何合理利用能源的作文,如何合理利用能源

你說的主要指的是可再生能源還是不可再生能源呢?不管是那種能源 我們大家都得節約去利用,這些都是我們每乙個公民的義務所在。即使是可再生能源也許也會有被人為破壞或者某年某月消失在地球的可能。不可再生能源就更要珍惜了,為什麼油價越來越來貴。想想就明白該怎麼去合理利用各種能源了。減少能源利用過程中的廢物排放...

如何防止自己的網域名稱被劫持,如何防止網域名稱被劫持及泛解析 如何檢視網域名稱是否被劫持

您好!網域名稱防劫持直接在gworg做https加密,可以防止100 不被劫持,另外自己的伺服器dns也要換成純淨的。 中國遠征軍丶 不管您使用哪種dns,按照下面的方法可以避免網域名稱劫持 1.在不同的網路上執行分離的網域名稱伺服器來取得冗餘性。2.將外部和內部網域名稱伺服器分開 物理上分開或執行...