欢迎访问织梦学习网,加群!!!!!!!!!!!!!!!!
当前位置:主页 > 安装使用 >

织梦DedeCMS默认友情链接等页面的安全隐患

2014-03-02 dedecms安装使用 织梦,DedeCMS,默认,友情链接,等,页,面的,安全,

  dedestudy.cn/' target='_blank'>织梦DedeCMS的好处什么的就不说了,今天主要讲一下dedestudy.cn/' target='_blank'>织梦默认的设置里面一些可能会暴露网站模板路径的安全隐患。有人会说织梦模板的路径暴露了有什么的,当然这个路径是非常重要的了,如果你的系统未进行一些相关的设置,在知道你的织梦网站模板路径的情况下,是可以直接下载你的网站模板的。因为织梦的模板文件是.htm结尾的文件,直接在浏览器中输入模板文件的地址,就会看到模板的内容了。

  当然,出现这样的情况主要还是大家的安全意识不大强,任何以.htm或者.html为后缀的网站模板都是可以直接下载的。要避免这种情况出现,只需要进行一些简单的模板防盗的措施就可以了。在织梦DedeCMS模板防盗的四种方法一文就有详细的讲解,有兴趣的朋友可以去看一下。今天主要跟大家分享一个DEDECMS默认友情链接等页面可能暴露网站模板路径的安全隐患。

  接触过织梦DedeCMS的朋友都知道,友情链接路径是plus/flink.php以及申请链接路径地址是plus/flink_add.php,相信很多站长没有注意到,这些看似正常的链接路径,却存在一个极其问题,那就是模版路径被知晓。当然,plus下面的诸如search.php都同样有暴露网站模板路径的风险的。

  首先,我们先在本地测试揭晓存在的问题。以下是默认的织梦首页的添加友情链接页面截图:

  我们点击所有链接,打开了申请友情链接页面:

  上图中地址栏的地址即是点击所有链接的相对应地址了,那么我们复制图中的logo图片地址。

 

  上图中就是logo图片的地址了,那么我们把images/logo.gif 替换成index.htm,就可以看到如下图所示的界面了。

  大家看到了什么,这个就是默认的首页模板呀。如果你的其他的模板文件也是根据织梦的默认的文件来命名的,那就可以继续通过article_article.htm访问文章页面的模板。虽然织梦仿站不是一件太困难的事情,但是总比这样直接就把你的模板下载下来要耗费更多的时间吧。如果这个人是你的竞争对手,把你的网站模板到处散发,然后就有无数个和你网站一模一样的网站了。

  如何处理织梦DedeCMS默认友情链接等页面的安全隐患这样的问题呢?觉得,一方面是做减法,凡是自己网站用不到的功能文件,统统删除掉;二是注意不要把图片、css、js等文件放在模板目录中。当然,还需要加强织梦系统本身的安全,做好一些安全设置等。