baiyea | 发表于:12-10-08 11:56 [添加收藏] 楼主 [回复] #Top# |
---|---|
人气:7
积分:0
金币:64
|
以前是用kingcms 那个时候只有一个asp版本 记得最后一版是5.几
当时自己瞎弄弄,把后台,缓存,include,目录名都修改了,全站生成静态,最后还是被黑了。 最后发现是 kingcms 强制在生成的页面加 js代码 暴露了我的后台程序是用的kingcms(js代码里面有kingcms等相关字眼) 我不知道那个时候版本kingcms有什么漏洞,我很失望。 我一直念念不忘kingcms 的简洁便利 今天下载php版本下来,几个问题希望大S重视一下(我知道你的个性不好,程序员都这样,说了几句你不爱听的你就把我踢出群了,我还记得这事),但我还是希望你能耐心看一下。 1,我安装选择mysql 填写对应的数据,执行安装 弹出【脚本超时】,我有重建mysql用户名密码什么的,最后使用sqlite成功。 2,模块目录名没办法修改,找来找去也没找个模块相关配置文件。 3,后台目录也无法修改,基本上所有的文件目录都无法修改。 希望在安全方面借鉴一下dedecms的: 1,把需要写的文件放在一个目录里。且目录名可以改 就像现在的缓存目录文件可以改名一样(dede这样做,可以让我在服务器上配置data目录可写可读不可执行php权限)。 2,把不需要写的文件放一个目录里,目录名可以改就最好,不能改就做好单一入口(这样我可以设置服务器该目录不可写)。 ps:我觉得dede解决安全问题思路是好的,永远不要自信说自己写的程序最安全,能把安全风险转嫁给底层就尽量转嫁给底层,不行做好单一入口
Ta最近还发表过
[使用]
多年未用,kingcms 还是那样 安全问题任然不放心
(13-12-05)
随机阅读
[分享]
KingCMS 5.0标签大全
(16-12-18)
[分享]
个人网络安全防御4大措施---七七云服务器转载
(15-07-06)
[错误]
前台会员在编辑框中上传附件会提示 上传接口发生错误
(12-09-26)
[帮助]
查了一下官方的w3c css 有发现!!
(11-06-27)
[疑问]
请问论坛里有没DIGG插件
(11-03-28)
|
helly435 | 发表于:12-10-08 20:35 沙发 [回复] #Top# |
---|---|
人气:0
积分:0
金币:20
|
呵呵 dede漏洞也是一大堆的 这个除了程序的本身安全漏洞外 也还需要你自己安全防护 文件权限要严格控制
|
flowin | 发表于:12-10-09 11:05 编辑于:10-09 11:06 板凳 [回复] #Top# |
---|---|
人气:111
积分:755
金币:4074
|
挖KC漏洞的人少一点!挖DEDE漏洞的人可是很多的!!!
你那时候的漏洞应该是编辑器吧,换掉就行了!自己改改程序!安全性很高的! |
dbwlw | 发表于:12-10-09 13:31 4楼 [回复] #Top# |
---|---|
人气:0
积分:43
金币:20
|
真的是这样的吗
|
baiyea | 发表于:12-10-09 16:50 编辑于:10-09 16:53 5楼 [回复] #Top# |
---|---|
人气:7
积分:0
金币:64
|
是的,应该是那个编辑器漏洞。
后来才知道的。 我不信任程序是安全的,我只希望起码程序应该能够为我便利的改服务器权限 比如以前的是access数据库可转移到根路径的父路径 文件夹目录名可修改这是起码的安全策略 |
martins99 | 发表于:12-10-09 20:36 6楼 [回复] #Top# |
---|---|
人气:0
积分:0
金币:20
|
我以前也是用asp 很喜欢关键词页面 最近来看看其他版本
|
flowin | 发表于:12-10-10 08:56 7楼 [回复] #Top# |
---|---|
人气:111
积分:755
金币:4074
|
数据量不大用asp就行了!
|
hq181msn | 发表于:12-10-17 10:03 8楼 [回复] #Top# |
---|---|
人气:0
积分:4
金币:0
|
路过,学习
|
花姑子 | 发表于:12-10-17 15:49 9楼 [回复] #Top# |
---|---|
人气:0
积分:104
金币:30
|
楼主要淡定的哦
|
baiyea | 发表于:13-11-20 14:03 10楼 [回复] #Top# |
---|---|
人气:7
积分:0
金币:64
|
现在有没有修改这个问题?
|