Dedecms が頻繁に騙される場合はどうすればよいですか?

藏色散人
リリース: 2019-12-12 10:34:15
オリジナル
2048 人が閲覧しました

Dedecms が頻繁に騙される場合はどうすればよいですか?

Dedecms が頻繁に騙される場合はどうすればよいですか?

頻繁に騙されるウェブマスターの友人に捧げます。馬の首吊りを防ぐためにあらゆる段階で注意してください

推奨される研究:梦Weavercms

タイトルにあるように:

「」と言う友人をよく見かけます。 DEDECMS プログラムにはセキュリティの問題があり、私の Web サイトは再びハッキングされました。"

DedeCms には問題ないと思います。dede のユーザー フォームのソース コードによると、フィルタリングされています

dedecms のユーザーは非常に多く、セキュリティ上の脆弱性があった場合、それを使用するのは少数の友人だけではないのではないかと思います。

以下は、ハッカーが一般的に使用する SQL インジェクション手法と、誰もが注意すべき事項です。

1. ツールを使用し、ハッカー ツールを使用して脆弱性を確認します。あなたのウェブサイト~もちろん悪用しないでください。SQL を注入するハッキング ソフトウェアを使用してウェブサイトをチェックしてください (D インジェクターなど、私はそれらをすべて使用しましたが、デデがアクセスできる抜け穴や場所は見つかりませんでした)ハッキングされる可能性があります。信じられない場合は、テストすることもできます。もちろん、私が知らないからといって、ハッキングされていないという意味ではありませんが、デデを使用している友人が何人いるかも知っておく必要があります。は簡単に捕らえられる脆弱性です。ハングアップする Web サイトの数はおそらく恐ろしいものになるでしょう)

2 .バックエンド アドレスを変更する必要があります。DEDE フォルダーをバックエンドとして使用しないでください。友達は、Dede バックエンド フォルダーの名前を変更できることさえ知りません。 ?

3. バックグラウンドで確認コードを追加するのが最善です。少し面倒ではありますが、多くの小規模なハッカーがソーシャル エンジニアリングを使用して Web サイトをクラックするのを防ぐことができます (私は試してみました、多くの友人のパスワードは多くの場合、携帯電話番号、ドメイン名、QQ などです)

4. Web サイトにフィルターするフィールドを追加する場合 (申し込み時にユーザーに誕生日の入力を要求するなど)、自分の問題を DEDE に押し付けないでください。 (特定の PHP スキルを持つ友人に修正してもらうことをお勧めします。この機能を実現するには、フォアグラウンドにフォームを追加し、バックグラウンドに発行フォームを追加してからデータベース フィールドを追加するというほど単純ではありません。XSS 攻撃を防ぐため、htmlspecialchars、mysql_escape_string()) の追加に注意する必要があります。

5. 自分のスペースでいくつかの小さなプログラムを使用して関数を追加している友人もたくさんいます (私もそれらのプログラムを使用していましたが、削除するのを忘れていました)フォト アルバム、登録、その他のプログラムなど) これらのプログラムの作成者はすべて不明であり、そのプログラムには基本的に一定のリスクがあります。一部のハッカーはこれを利用して、ブラックアイズ ポニー (つまり、トロイの木馬) を取得して仮想空間を使用する権利を取得し、ツールを使用して馬をバッチでマウントするだけです。

6. IDC サーバー プロバイダーのリスクを無視しないでください。ハッカーの場合、サイトをハッキングするために、ポイントツーポイント クラッキングではなくサイド インジェクションを選択することがよくあります。方法は、あなたのサーバーと同じサーバー上にある他の Web サイトをクラックすることです。信じないでください。他の人があなたの Web サイトの隣人が誰であるかを知るのは非常に簡単です (この Web サイトにアクセスして、同じ IP の下にあるすべての Web サイトを自分でチェックしてください。 IP アドレスを入力します。https://www.xx.net)、同じサーバー上の他のユーザーをクラックして電話を切ることも非常に簡単です (私はこの方法を使って他の人の Web サイトをハングアップしました)。この制限を処理できる十分な強度を持つ一部の優れたサーバーでは、この問題は発生しません。

7. また、有効にするユーザー アップロード列を厳密に管理することが最善です。これも重要です。ハッカーがバックエンドをクラックしない場合、ハッカーがバックエンドをクラックする必要があるため、あなたを吊るすことははるかに困難になります。馬乗りツールをアップロードする 馬乗りになったことがある場合は、Web サイトで html.php.asp などのファイルのアップロードが許可されているかどうかを必ず確認してください。

8. Dede が公式にリリースしたセキュリティ パッチには常に注意してください。前回リリースされたいくつかのセキュリティ パッチを調査しました。いくつかの脆弱性は二重の理由により他の人によって悪用される可能性があります (Dede も実際にそれを注目しています)。 DEDE は依然としてセキュリティ問題に注意を払っていることがわかります。メンバー パッチがリリースされたのは 1 月だったと記憶しています。2 月には、一部のハッカー Web サイトが、このパッチを適用していない Web サイトに対するマルウェアに関する記事を公開しました。実際にその罠に陥った友人もいます。 ~ I とても言葉が出ません。いつでも皆さんが公式のセキュリティ パッチに注意してくれることを願っています)

9. 友人の中には、馬に勝った後にファイルをこのフォーラムにアップロードすることがよくあるので、みんなで一緒に勉強できることを願っています。 「アップロードしても動かないよ」と言いたいのですが、JSやiframeが鍵ではないので防ぐ方法はありますが、アップロードするとファイルを暗号化したトロイの木馬を誰もが解読できるだけです」 他人が残したものは単なる目的であり、道具ではありません。

10. あなたの Web サイトをハッキングしようとする超一流のハッカーなど、抗しがたい自然要因。欠陥のない多くのことに問題が発生するのではないかと心配しています。信じてください、あなたの Web サイトをハッキングするハッカーはすべてハッカーもツールハッカーも、上記のことを行うと、ハッカーは何をすればよいのかわかりません。

最初はこれを投稿するつもりはなかったのですが、なぜこんなにたくさん書くことになったのかわかりません!

この記事を投稿する目的は、誰もが投稿できることを願うことです。 !

最新の脆弱性やその他のハッキング手法がある場合は、できるだけ早く dede に関する記事を公開します~

皆さんのご無事をお祈りします運!###

以上がDedecms が頻繁に騙される場合はどうすればよいですか?の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。

関連ラベル:
ソース:php.cn
このウェブサイトの声明
この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。
人気のチュートリアル
詳細>
最新のダウンロード
詳細>
ウェブエフェクト
公式サイト
サイト素材
フロントエンドテンプレート
私たちについて 免責事項 Sitemap
PHP中国語ウェブサイト:福祉オンライン PHP トレーニング,PHP 学習者の迅速な成長を支援します!