dedev57漏洞工具下載

⑴ dedecms買了個表的黑客都攻到後台來了{dede:welcome_info/}

和上面說復的差不多~備制份模板和資料庫，然後覆蓋，dede的要注意隨時更新補丁，檢查漏洞，後台支付與會員功能不用的話最好關閉，像我刪除了，永絕後患~這些地方最特么容易被注入，那叫一個蛋疼~用安全寶偽裝下ip也行，多多少少可以防範些~

⑵ dedecms被掛馬

最近dedecms 出現了幾個漏洞,導致大部分使用dede的網站被掛馬入侵不如果你只是覆蓋起不到作用的,因為你的網站里已經有黑客留下的後門程序你現在需要做的是,dWufXi

⑶ 織夢V57_GBK_SP1（20150618版本）根目錄被惡意上傳/修改index.php/index.html

1、在DEDE網站根目錄，建立「tag」目錄（小寫）
2、在DEDE後台SQL運行器里，執行以下一條SQL:
ALTER
TABLE
`dede_tagindex`
ADD
`maketime`
INT(
10
)
UNSIGNED
NOT
NULL
DEFAULT
'0';
3、增加文版件：權
templets/default/list_tag.htm
//可從文章列表頁復制修改
templets/default/index_tag.htm
//可從tag.htm復制
dede/makehtml_tag_action_list.php
dede/makehtml_tag_action_index.php
dede/makehtml_tag.php
dede/templets/makehtml_tag.htm
include/arc.taghtml.class.php
如果樓主看不明白就去後盾人那裡面自學吧，有很多好東西我還聽說他們最近在搞什麼活動學費九折還包住宿

⑷ 我用織夢程序建了個網站，下載了個北極熊掃描器，掃描web漏洞，居然在我自己的網站上掃描出了100條

360網站安全檢測 你試試這個不過這個好像要求必須上線,織夢的網站漏洞本身就多,而且容易被攻擊,你的目錄人家都猜得到.因為用的人太多.我們這兒一個搞二次開發的小孩,不會編程大學學的是網路工程,他就會專門對dede進行攻擊(因為還有專門的教程如何對dede進行攻擊)
有些開源的為什麼要有那麼多漏洞呢?
他們的業務是對dede進行修改開發,以及補漏洞收費,但你自己下載使用不收費.就是您交錢了,我把漏洞給你修了,bug給你修復.您不交錢 您自行解決...不過也是人家也得吃飯...而且漏洞這東西永遠也補不幹凈,程序是人寫的 那必定有漏洞,只是相對問題大小.

dede 織夢 ecshop 我們公司接的都是些做企業站的,或者個人站長,千 八百的就做一個,這玩意接接私活,或者糊弄不懂行的客戶沒啥關系.你說要真自己補漏洞 真夠你受的.
我現在正用yii框架開發自己公司的cms呢,雖然我不是主力,分門別類的,其實就是把別人的cms系統仿一遍,但是這樣更安全一些,更好維護拓展

漏洞無窮盡,你網站代碼漏洞補好了,你還要注意你伺服器的安全各種配置,什麼許可權之類的,還有屏蔽錯誤信息神馬的.
這屬於web安全方面知識,我就一碼農,只管碼...

下面給你說說補漏洞

如果您使用了DedeCMS程序，請立即按如下流程處理：
1.在dedecms的後台更新補丁,盡可能升級為最新版本。
2.data、templets、uploads、install這幾個目錄用控制面板的「目錄保護」功能 禁止執行許可權 。
3.如果只是使用文章系統並沒有使用會員功能,則強推推薦:關閉會員功能、關閉新會員注冊、直接刪除member目錄或改名。
4.用dedecms後台的「系統」中的文件校驗和病毒掃描功能 查殺病毒木馬。
5.檢查有無/data/cache/t.php 、/data/cache/x.php和/plus/index.php 這些木馬文件,有的話則應立即刪除。
請及時關注dedecms的最新補丁,如果官方出新補丁,則應立即更新。
第一、安裝的時候資料庫的表前綴，最好改一下，不用dedecms默認的前綴dede_,可以改成ljs_,隨便一個名稱即可。
第二、後台登錄開啟驗證碼功能，將默認管理員admin刪除，改成一個自己專用的，復雜點的賬號，管理員密碼一定要長，至少8位，而且字母與數字混合。
第三、裝好程序後務必刪除install目錄
第四、將dedecms後台管理默認目錄名dede改掉。
第五、用不到的功能一概關閉，比如會員、評論等，如果沒有必要通通在後台關閉。
第六、以下一些是可以刪除的目錄：
member會員功能
special專題功能
company企業模塊
plus\guestbook留言板
以下是可以刪除的文件：
管理目錄下的這些文件是後台文件管理器，屬於多餘功能，而且最影響安全,許多HACK都是通過它來掛馬的
file_manage_control.php
file_manage_main.php
file_manage_view.php
media_add.php
media_edit.php
media_main.php
再有：
不需要SQL命令運行器的將dede/sys_sql_query.php 文件刪除。
不需要tag功能請將根目錄下的tag.php刪除。不需要頂客請將根目錄下的digg.php與diggindex.php刪除。
第七、多關注dedecms官方發布的安全補丁，及時打上補丁。
第八、下載發布功能（管理目錄下soft__xxx_xxx.php），不用的話可以刪掉，這個也比較容易上傳小馬的.
第九、DedeCms官網出的萬能安全防護代碼,登錄dedecms官網論壇查看.
第十、最安全的方式：本地發布html，然後上傳到空間。不包含任何動態內容，理論上最安全，不過維護相對來說比較麻煩。
第十一、由於黑客上傳惡意代碼的目錄主要是 /data /data/cache 和 /plus 這三個目錄，請務必設置這三個目錄的許可權，需要執行許可權的，請設置成不可寫，需要寫許可權的，請設置成不可執行，也就是這三個目錄的許可權要麼是555，要麼是644！
第十二，還是得經常檢查自己的網站，被掛黑鏈是小事，被掛木馬或刪程序就很慘了，運氣不好的話，排名也會跟著掉。所以還得記得時常備份數據.

⑸ PHP網站漏洞掃描工具，求免費的。

可以使用360網站安全檢測，免費的，檢測結果還是比較細致可信的。我一直在用

⑹ 小弟在學滲透，裝了個dede5.7的網站，想拿後台密碼，有啥方法，請大神們指導

找漏洞插一句話，或者爆掃弱口令，更高層次的就需要更高的技術專業知識了

⑺ 如何利用DedeCMS lt;5.7-sp1遠程文件包含漏洞

其實能看懂代碼的話這個漏洞非常簡單，雖然標題是文件包含，實際上是因為變數覆蓋引起的
漏洞文件在install/index.php.bak
17 $install_demo_name = 'dedev57demo.txt';
18 $insLockfile = dirname(__FILE__).'/install_lock.txt';

29 foreach(Array('_GET','_POST','_COOKIE') as $_request)
30 {
31 foreach($$_request as $_k => $_v) ${$_k} = RunMagicQuotes($_v);
32 }
這一段是導致變數覆蓋的代碼，可以覆蓋掉$insLockfile這個變數使file_exists判斷失效， 導致利用者可以重新安裝網站，這個漏洞很久以前就曝出來了。
http://www.cnseay.com/2956 這篇文章說的很詳細了

標題中的文件包含在哪裡呢

373 else if($step==11)
374 {
375 require_once('../data/admin/config_update.php');
376 $rmurl = $updateHost."dedecms/demodata.{$s_lang}.txt";
377
378 $sql_content = file_get_contents($rmurl);
379 $fp = fopen($install_demo_name,'w');
380 if(fwrite($fp,$sql_content)) //fwrite websehll
381 echo ' <font color="green">[√]</font> 存在(您可以選擇安裝進行體驗)';
382 else
383 echo ' <font color="red">[×]</font> 遠程獲取失敗';
384 unset($sql_content);
385 fclose($fp);
386 exit();
387 }

由於變數都是可控的，程序中又用到了 file_get_contents函數去讀取遠程文件，然後又用fwrite函數保存到本地了。利用方法也非常簡單

⑻ 織夢dedecms最新版本（即 V57_UTF8_SP1 2015-06-18）後台的模塊管理為什麼是空的呀

你好，很高興為您解答：

對單個模塊下載的話，可以訪問織夢官方網站，有一個模塊&插件欄目，在這裡面可以下載到！

⑼ dedecms自動入侵工具怎麼用

DEDECMS最近頻繁出現安全漏洞，很多客戶網站被黑，掛上木馬鏈接。
被黑都是由於沒有及時打上補丁，所以這里提醒大家，經常進入後台檢查一下是否有補丁，發現有補丁及時打上。
1.由於DEDECMS開源，源代碼未經過任何加密，黑客可以分析程序源代碼來發現漏洞。
2.DEDECMS用戶數量驚人，國內有幾百萬網站在使用，黑客一但發現漏洞，非法入侵網站來謀取巨大利益也是重要的一個原因。
3.織夢創始人IT伯拉圖離開織夢以後，
dedecms長時間未有大的更新。
二、預防被黑客攻擊
1.網路上沒有絕對的安全，基本上所有做網站的都有被黑經理，包含我們人，包含91dede.com都有被黑過。
2.防黑必須提高自身安全知識，選擇正規的空間商，自己的伺服器的話需要找專業的人配置環境，伺服器上能不裝的軟體一律不裝(包括所有殺毒軟體都不要裝)，伺服器上能不開的埠一律不開放。伺服器及時打上系統補丁。
3.DEDECMS一般漏洞被公布後一兩天官方就會出現補丁，大家發現有補丁馬上更新，一般情況下是輪不到你的網站被黑，如果在第一時間還沒出補丁就被黑了，那麼恭喜你，你的網站經營的不錯已經得到了廣大黑客的認可。。
三、被黑以後的處理
1.有備無患，大家一定要經常備份，選擇好點的空間商一般也會提供定期備份服務，不過大家最好還是自己定期備份，這樣不管出現任何問題，都可以還原備份來解決。
做為一個網站管理者，必須要努力提升自我的安全意識。大概就寫這么多了。。