Ⅰ DedeCMS最新sql注入漏洞
想要徹底解決dede的安全問題,最好是將dede的系統文件都移植到一個文件夾下,這個文件夾用自定義名稱。
這樣網站就不會被掃描到系統目錄,提升了安全性。
網站因為是靜態生成的嘛,所以在訪問時無需這樣文件,對訪問無影響。
具體實施方法網路上有,我做了一些改進,如果需要請hi我。
Ⅱ 請問網站Dedecms recommend.php SQL注入漏洞怎麼修復
這個漏洞是織夢cms 2013-9-22爆出的一個sql注入漏洞,解決辦法其實很簡單。你只要打了織夢最新補丁即可。如果你進行了二次開發請提前做好備份。更多織夢安全的設置可以去織夢雲官網看下: http://www.dedeyun.com/news/safe/ 織夢只要設置後還是很安全的。
Ⅲ 織夢CMS安裝後進入後台提示用戶名不存在
第一步:打開資料庫dede_admin表
第二步:把以前能登錄的資料庫中的賬號、密碼復制到文本文檔中備用。
第三步:打開不能登錄的那個資料庫,並且找到dede_admin,打開看看。把第二步中的賬號、密碼復制到對應的欄目中。
然後打開織夢後台地址,已經能夠登錄到織夢後台了。
至此雖然用戶名及密碼都有效了,可我們要反思,為什麼會出現這種情況呢?今天我們修改過來,會不會過一段時間又被人修改了呢?於是筆者又進入下一步的工作。
通過360
網站衛士檢測,發現網站存在「DedeCMS最新SQL注入漏洞」,此漏洞能夠通過SQL注入使用戶名和密碼變更。解決辦法,下載該漏洞補丁進行更新。
至此登錄織夢後台提示用戶名不存在的問題得到解決
Ⅳ 織夢的歷史漏洞
【2011-8-19】 DedeCMS全局變數初始化存在漏洞
描述:可能導致黑客利用漏洞侵入使用DedeCMS的網站伺服器,造成網站用戶數據泄露、頁面被惡意篡改等嚴重後果。
【2012-3-21】 DedeCMS官方源碼被植入後門
描述:導致黑客可以執行任意代碼從而控制整個網站或伺服器
【2013-3-29】DedeCMS安全漏洞
描述:「本地文件包含漏洞」,發現時為「0day」,官方已修復
【2013-4-1】DedeCMS 爆SQL注入漏洞
描述:烏雲平台曝光, 「0day」,官方已修復
【2013-5-2】DedeCMS「重安裝」高危安全漏洞
描述:被發現「0day」,通知官方修復並啟用臨時修復方案
【2013-6-4】DedeCMS 高危安全漏洞
描述:此漏洞為「0day」,官方已修復
【2013-9-30】DedeCMS 5.7版本高危漏洞
描述:烏雲白帽子上報,「0day」,跨站腳本漏洞,可在前台插入惡意JS代碼,黑客已經利用
【2014-1-6】DedeCMS會員投稿跨站腳本漏洞
描述:攻擊者可通過「會員投稿」插入惡意代碼,後台管理審稿時「中招」可導致網站被黑
【2014-2-17】swfupload.swf跨站漏洞
描述:該漏洞烏雲平台上報,站長反饋網站在檢測時檢測出此漏洞,已提供修復方案
【2014-3-4】DedeCMS多個安全漏洞
描述:包括2個高危及多個曾經預警的官方沒修復的漏洞。官方發布補丁修復但沒有全部修復
【2014-03-05】dedecmsV5.7.38 GBK正式版20140305常規更新補丁 member/soft_add.php修復功能錯誤及存在的漏洞member/soft_edit.php修復功能錯誤及存在的漏洞include/filter.inc.php修復功能錯誤及存在的漏洞【2014-03-11】dedecmsV5.7.39 GBK正式版20140311常規更新補丁 data/mole/.xml新增暢言模塊include/helpers/channelunit.helper.php模板標簽解析功能完善include/inc/inc_fun_funAdmin.php更新提示站點遷移完善include/taglib/flink.lib.php友情鏈接標簽緩存完善【2014-03-13】dedecmsV5.7.40 GBK正式版20140313常規更新補丁 include/helpers/channelunit.helper.php修復一個標簽解析錯誤【2014-11-28】DEDECMS官方網被黑,黑客在織夢伺服器端植入惡意代碼,所有織夢用戶訪問後台時會提示下載1.exe文件,該程序為後門,一旦下載便會感染成為遠控端,而且該病毒會實現反復感染。如果用戶為IE瀏覽器,則會直接感染成為遠控端。
Ⅳ 織夢後台為什麼老是提示用戶名不存在
第一步:打開資料庫dede_admin表,出現如下界面:
解釋:1表示的是登錄賬號,2表示登錄密碼(加密後的字元,不是你輸入的密碼)
第二步:把以前能登錄的資料庫中的賬號、密碼復制到文本文檔中備用。
第三步:打開不能登錄的那個資料庫,並且找到dede_admin,打開看看。把第二步中的賬號、密碼復制到對應的欄目中。
//資料庫連接信息
$cfg_dbhost = 'localhost';網站地址
$cfg_dbname = 'data';資料庫名
$cfg_dbuser = 'data_user';資料庫用戶名
$cfg_dbpwd = 'admin';資料庫連接密碼
$cfg_dbprefix = 'dede_';資料庫前綴
$cfg_db_language = 'gbk';資料庫語言版本
?>
然後打開織夢後台地址,已經能夠登錄到織夢後台了。
至此雖然用戶名及密碼都有效了,可我們要反思,為什麼會出現這種情況呢?今天我們修改過來,會不會過一段時間又被人修改了呢?於是筆者又進入下一步的工作。
通過360網站衛士檢測,發現網站存在「DedeCMS最新SQL注入漏洞」,此漏洞能夠通過SQL注入使用戶名和密碼變更。解決辦法,下載該漏洞補丁進行更新。
至此登錄織夢後台提示用戶名不存在的問題得到解決,希望對給位朋友有借鑒意義。
我認為應該是賬戶名出錯了,你仔細看看是不是賬戶名和登錄名出現錯誤,或者不規范,引起的故障,你可以網路站長平台的安全監測一下,看看具體是什麼原因,然後在進行相應的解決。
望採納