不需要插件实现织梦会员增加签到积分/金币方法,因为很多插件我们大家可能都不了解,有些也可以增加了脚本,所以自己手动添加的比较安全,现在把方法分享给大家。...三、新增系统变量,用来设置签到所得积分的数量变量名称填:cfg_sign_time变量类型:数字参数说明:会员签到积分所属组:会员设置变量值:10点击保存变量即可(变量值10表示签到增加10积分),如下图所示...'/config.php';$uid = $cfg_ml->M_ID;//获取当前登录会员的ID$time = time();//获取当前的时间戳$uid = isset($uid) ?...>五、在数据库中新增一个字段,用来储存会员签到的时间,找到数据库中的dede_member表(dede_是你的表前缀,请自行替换)新增字段:signtime类型为:int长度值:10保存即可。...注意:dede_member是官方默认的数据表,如果你的程序更改了数据表前缀,那么就需要把 dede_ 进行替换执行成功后如下:原文链接:https://www.mimisucai.com/teach/dedecms
通过全局分析得知dedecms大致有3个主要功能,也通过不同的入口文件进入 1)网站前台首页,没有什么功能点 2)会员中心,默认是关闭该功能的,需要后台打开 3)管理员后台 跟踪前台index.php的流程...有趣的文件上传 后面翻阅dedecms历史漏洞,发现会员中心处存在一个文件上传漏洞。...功能点位于会员中心找回密码处,dedecms默认是关闭会员中心的,需要在后台开启会员中心,为了方便测试,开放了用户注册 来看下关键代码: member/resetpassword.php 1、加载member...主要使用include/memberlogin.class.php中MemberLogin类来处理这些逻辑,下面来具体看下代码 入口文件逻辑 入口文件主要分为3个逻辑处理,首先通过uid可以查看对应用户的会员空间...这里首先看下第三个逻辑处理,会员空间主要通过config_space.php文件加载,具体代码如下: 会员空间的信息主要通过uid在数据库中查询得到,其中uid为用户名信息 当查询结果为空时会退出程序
0x01 漏洞概述 DedeCMS 5.7 SP2版本中的uploads/include/dialog/select_images_post.php文件存在文件上传漏洞,远程攻击者可利用该漏洞上传并执行任意...最新的DEDECMS系统存在前台文件上传漏洞,需要管理员打开会员中心,访问链接: http://127.0.0.1/dedecms/member/archives_sg_add.php?...0x02 环境配置 下载完源码包安装之后,进入到后台在【系统】-【系统基本参数】-【会员设置】中开启会员注册,并开启会员权限开通状态,即就是不用审核。 ?...然后关闭邮件审核,文章审核以及会员不用知道管理目录就可以上传图片,需要分别修改如下文件代码,当然有些生产环境下的这些功能是正常的,所以其实并不用修改。 ? ? ?...0x03漏洞利用 注册一个会员账户test123,然后登陆会员中心。 ? 然后点击分类信息-发表文章 ? 点击图片,上传准备好的一句话图片文件。 ?
ytkah最近用dedecms做会员系统,在做登录页面的时候发现登陆的时候提示本页面禁止返回,把登陆模板换回官方原来的,竟然可以登陆,那么应该是模板出错了,又看了index_do.php这个文件,这个就是登陆的处理文件...>"> dedecms会员登录页面文件在\member\templets\index-notlogin.htm,加入如上代码后就可以登录了,有遇到类似问题的朋友可以参考一下 为了方便可以把登录验证码关闭
空间服务商安全措施做不到位,跨站攻击; 5....将dedecms后台管理默认目录名dede改掉; 5. 用不到的功能一概关闭,比如会员、评论等,如果没有必要通通在后台关闭。 6....Dede织梦后台有一些无用是可以删除的目录,及时清除: member会员功能 special专题功能 company企业模块 plusguestbook留言板 7....多关注dedecms官方发布的安全补丁,及时打上补丁。...删除空间网站程序所有文件,从本地网站模板完善后重新上传安装;这种方法是最干净利落的解决办法;只不过操作麻烦了一点,但是能见到奇效!
2018年的中秋节即将来临,我们Sine安全公司,最近接到很多用dedecms程序的企业公司网站客户的反馈,说是公司网站经常被篡改,包括网站首页的标题内容以及描述内容,都被改成了什么北京sai车,北京P-K...,对网站静态目录进行了PHP脚本权限执行限制,对dedecms的覆盖变量漏洞进行了修补,以及上传文件绕过漏洞和dedecms的广告文件js调用漏洞进行了深入的修复过滤了非法内容提交,清除了多个脚本木马文件...,并对网站默认的后台地址进行了更改,以及dedecms注入漏洞获取到管理员的user和password值,对此我们sine安全对dedecms的漏洞修复是全面化的人工代码审计以及修复漏洞代码,因为用dedecms...所以如果想要优化和访问速度快又想网站安全建议大家做下网站全面的安全加固服务. 2.dedecms织梦首页被篡改,网站被黑,被跳转的解决办法建议: 1....没用的插件以及会员系统可以直接关闭或删除。 6. 升级dedecms,织梦系统的版本到最新版本。
用火车头发布dedecms文章时,经常会自动添加关键词,这些关键词默认有10个,数量过多,而且是随机提取的,乱七八糟的词都进去了,如下图所示: 这些关键词可能会成为se判断你作弊的依据,现在se也弱化了关键词标签的排名因素...,既然自动关键词没有精准,又有可能伤害你的站,何不把它关闭了呢?...那么,如何关闭火车头dedecms发布模块自动关键词功能呢?...ytkah.com为您解析详细过程 火车头找到“发布配置管理”,“dedecms发布模块” 点击“编辑”,选“内容发布参数”,修改“autokey”表单项为空,即删除autokey的参数“1” 确定
综述 2018年01月09日,Dedecms官方更新了DedeCMS V5.7 SP2正式版,后续在10日有网友爆出其存在任意用户密码重置漏洞。 攻击难度:低。 危害程度:高。...官方修复情况如下:目前暂未发布升级补丁 ---- 什么是DedeCMS 织梦内容管理系统(DeDeCMS) 以简单、实用、开源而闻名,是国内最知名的PHP开源网站管理系统,也是使用用户最多的...广泛应用于中小型企业门户网站,个人网站,企业和学习网站建设,在中国,DedeCMS应该属于最受人们喜爱的CMS系统。...然后获取的重置面链接为: http://localhost/DedeCMS-V5.7-UTF8-SP2/member/resetpassword.php?...---- 防护方案 临时方案可以暂时关闭会员功能,等待官方发布升级补丁然后升级。
在文章的末尾或侧边栏添加相关文章可以提高用户的黏度,提高pv,增加se的好印象(哈哈),那么dedecms如何调用相关文章呢?有三种方法可以实现。 ...第一种dedecms调用相关文章的方法,用默认的likearticle {dede:likearticle row='6' titlelen='40'} [field:title /] {/dede:likearticle} 第二种dedecms调用相关文章的方法,检索出当前会员发布的相关文章...{dede:sql sql="SELECT * FROM dede_archives WHERE writer=~writer~"} [field:id/], {/dede:sql} 第三种dedecms
cookie伪造导致任意前台用户登录 0x00 相关环境 源码信息:DedeCMS-V5.7-UTF8-SP2-20180109 问题文件: \DedeCMS-V5.7-UTF8-SP2\uploads...\member\index.php 漏洞类型:cookie伪造导致前台任意用户登录 站点地址:http://www.dedecms.com/ 0x01 漏洞分析 在文件\DedeCMS-V5.7-UTF8...0x02 漏洞复现 先在会员中心->内容中心->系统模型内容->图集构造如下请求,添加formhtml参数的值为1,litpicname参数的值为要删除的文件路径,以网站根目录为基本目录,构造好后进行请求...Content-Disposition: form-data; name="litpicname" /1.txt -----------------------------223472707522220-- 在会员中心...0x02 漏洞复现 该漏洞需要开启会员功能,然后可以在会员中心的编辑器中绕过上传限制。 POST /include/dialog/select_images_post.php?
当中2个用dedecms做的公司网站,公司网站底端被直接挂了很多的隱藏超链接,我也是在检测友链的情况下发觉了有很多的导出来超链接,依据网页源代码才发觉公司网站被侵入了。 ?...二.dedecms网站漏洞 因为dedecms的盛行,用dedecms织梦仿站变成被黑客入侵的总体目标之首,从dedecms5.5到如今的5.7,依旧有一小部分安全漏洞,用dedecms做的公司网站要留意以下几个方面..., 2.全部删除install安装文件 3.假如无需应用会员还可以立即全部删除member文件目录绝大多数黑客入侵dedecms公司网站就是说运用会员文章投稿功能,提交木马文件夹。...三.限制网站文件和文件目录被执行、写入 dedecms程序代码公司网站还可以做下列设定 1.下列文件目录:data、templets、uploads、a设定可读写不可以执行权限。
影响范围 DedeCMS v5.7 SP2 漏洞危害 任意修改前台用户密码 攻击类型 任意修改前台用户密码 利用条件 1、开启会员模块 2、攻击者拥有一个正常的会员账号 3、目标没有设置安全问题...漏洞简介 DedeCMS v5.7 SP2存在任意修改前台用户密码。...漏洞利用 因为这里的模块属于会员模块,包含了member.login.class.php,需要登录才能操作,所以我先注册一个用户,担任攻击者,再注册另外一个用户担任目标: 攻击者:test\2\test...Step2:发送以下请求url获取key值 http://192.168.174.159:88/DedeCms/member/resetpassword.php?...Step3:修改请求页URL(下面的key来自上面的请求结果) http://127.0.0.1/dedecms/member/resetpassword.php?
总结一些防止dedecms系统被攻击设置的方法,可有效的防止织梦系统被挂马,仅供各位站长参考。...1.安装时数据库的前缀不用dedecms默认的前缀dede_,可以改成其他的名称如diy_ 2.装好dede织梦cms系统后删除装文件install 3.修改织梦后台文件目录:把默认的dede改成其他名字...目录是系统缓存和配置文件的目录,一般都有可以读写的权限,只要是能够写入的目录都可能存在安全隐患,很多站长甚至给予这个目录可执行的权限,更是非常危险,所以我们建议将这个data目录搬移出Web可访问目录之外 6.不用会员系统...对于备份大家都知道,有利网站的安全,定期备份数据是任何网站都必须做的,不仅仅是DEDECMS 这些是常用的防攻击方法,但是,道高一尺,魔高一丈,网站排名好了,流量多了,就会有人想尽办法攻击你的网站,最好的办法是定期备份...,并把备份文件下载到电脑安全的地方保存好,网站如果被攻击,把空间里面的文件全部删除,上传备份文件即可。
0x00 漏洞背景 2018-12-11 在CVE中文申请站公布了一个 DEDECMS 5.7 SP2 最新版本中存在文件上传漏洞,具有管理员权限者可利用该漏洞上传并getshell执行任意PHP代码...并且要开启会员功能,这个功能在默认情况下是不开启,需要管理员手动开启。 经过360CERT判断,该漏洞危害小,影响面有限。但还是推荐使用DedeCMS的用户进行相关验证,并执行修复建议。...如果要开启会员功能,需要访问到sys_info.php, 但这个文件最终会调用到dede_random_bytes, 其中有个一个关于MCRYPT_DEV_URANDOM的检测。... $imgfile_name)) 0x03 时间线 2018-12-11 CVE中文申请站进行细节公开 2018-12-21 360CERT发布预警 0x04 参考链接 CVE-2018-20129:DedeCMS
dedecms5.7 sp2前台修改任意用户密码 前言 其实这个漏洞出来有一段时间了,不算是一个影响特别大的漏洞,毕竟dede是一个内容管理系统,用户这一块本来就基本没有用。...而且,前台也不能直接登录管理员账户 漏洞利用条件 开启会员模块 攻击者拥有一个正常的会员账号 目标没有设置安全问题 由于dede默认是没有开启会员功能的,也就是我们不能注册用户,所以要复现该漏洞需要自己开启...请大家自行搜索开启 漏洞复现 首先我先注册两个用户吧 攻击者:000001 密码:123 受害者:test 密码:123 由于dedecms注册用户需要审核,我这里是本地搭的,我直接在数据库里更改一下就行了...所以我们直接令safequestion=0.0,0.0可以绕过empty检查,而且由于if判断里面的比较是弱类型比较 0.0 == 0 //true 这样我们就会执行sn函数了,继续追踪一下吧,位于dedecms
虽然DedeCMS织梦程序已经很久没有更新升级,但是依旧有很多人在使用。比如我们可以看到市面上有很多第三方的DedeCMS主题和插件,从生态角度看,目前DedeCMS算是国产CMS程序中使用最多的。...DedeCMS织梦程序唯独的特点就是安全性问题,早年在使用它的时候经常有被出现安全问题,这个也是很多人可能犹豫是否使用的原因之一。...第一、仅使用核心功能 DedeCMS是一款优秀的内容管理系统,虽然他也有很多的扩展插件。但是老蒋个人建议在没有得到官方安全补丁和新版本出来之前,以及我们也没有能力去升级安全。...那我们就只使用其核心的文章功能,其他的所谓会员功能,扩展功能都禁止或者删除。 第二、管理目录修改 默认我们应该知道/dede就是DedeCMS程序的后台管理入口。...总之,DedeCMS在功能和易用性上确实是不错的,但是安全这个问题也是需要关注的。 本文出处:老蒋部落 » 确保DedeCMS建站程序安全需要做的几件事情 | 欢迎分享
前面我们很多朋友都有看到织梦DEDECMS程序官方要求主动去申请商业授权缴纳5800元每个网站,对于很多个人站长或者企业网站来说这个成本是不现实的,因为建站企业网站的朋友都有知道普通的企业网站接单过来都可能低于这个价格...比如老蒋以前帮朋友搭建的网站居然还是免费给他们的,我自己还要贴主机和域名给他们,肯定不会再买付费的DEDECMS授权的。 于是,我们有不少的朋友在商量转移到其他CMS。这里有群友提到迅睿CMS。...他们有提到迅睿CMS是可以通过单独的转换数据工具迁移DEDECMS的,这里在迁移之前,我还是先看看迅睿CMS到底是免费还是付费的。这里我们从迅睿CMS开源协议看看。...3、免费开源产品为什么要收取会员费用呢? 正因为是免费开源的产品,在程序版本研发、售后服务都需要大量的技术人员,公司经营是需要成本的,没有这些薄弱的收入来源就无法维持下去的。...4、免费用户和会员用户有什么区别? 下载的源码是一样的,没有区别,免费也可以商用,免费用户可以向官方每天索要一个付费插件源码;而付费用户可以永久免费使用官方的全部插件和售后服务支持。
这两天我们是不是看到有关于熟悉的DEDECMS织梦程序有发布通告,告知从10月25日24时之前,如果个人或者企业有在使用DEDECMS织梦程序的,且有在用商业用途的,必须要进行购买商业授权才可以使用,否则就可能遭受法律诉讼...这里老蒋整理几个常规的应对DEDECMS版权纠纷的方法。 第一、更换程序 我们可以通过一些技术手段进行数据迁移,比如将DEDECMS迁移到帝国CMS、PHPCMS、WordPress等等。...因为大部分的企业网站或者个人网站都是用的DEDECMS生成静态页面的功能,我们没有用到他的核心程序后台功能。只有在管理更新的时候才会用到。而且大部分都没有会员交互。...因为我们的前端主题是我们自己开发、购买过来的,这个和DEDECMS确实没有关系。我们只用静态页面而已。...本文出处:老蒋部落 » 关于DEDECMS织梦程序通告需支付商业授权后个人和企业网站应对策略
织梦内容管理系统(DedeCms) 以简单、实用、开源而闻名,是国内最知名的PHP开源网站管理系统,也是使用用户最多的PHP类CMS系统,在经历多年的发展,目前的版本无论在功能,还是在易用性方面,都有了长足的发展和进步...,DedeCms免费版的主要目标用户锁定在个人站长,功能更专注于个人网站或中小型门户的构建,当然也不乏有企业用户和学校等在使用本系统。...在代码中找到这个系统所在的文件dedecms/plus/vote.php,看一下它的代码 ? 这里可以看到这里分为了两种投票方式,一种是会员登陆之后投票,一种是游客状态下投票。
前言 本文将对dedecms(织梦cms)所存在的漏洞进行分析和复现,因为代码审计较弱,代码这一块的分析借鉴了一些大佬们的思想,在这里对大佬们表示衷心的感谢。...环境搭建 下载DedeCMS源码放到phpstudy目录下 然后输入127.0.0.1/DedeCMS/uploads/install/index.php进行安装 进入环境检测页面 进行环境配置...$randval); } 跳转链接就是修改密码的链接了 漏洞复现 首先打开后台管理页面开启会员功能 注册一个帐号 信息的话随便填一下即可注册成功 然后进入了个人中心 进入会员中心...任意用户登录 漏洞原理 dedecms的会员模块的身份认证使用的是客户端session,在Cookie中写入用户ID并且附上ID__ckMd5,用做签名。...现在我们来看看,dedecms会员认证系统是怎么实现的:/include/memberlogin.class.php //php5构造函数 function __construct($kptime
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
ICP备案
实时音视频
对象存储
即时通信 IM
