dedecms后臺(tái)登錄，黑客滲透測(cè)試該如何學(xué)習(xí)？

Web安全相關(guān)概念

1.通過(guò)關(guān)鍵字（SQL注入、上傳、XSS、CSRF、一句話(huà)木馬等）進(jìn)行Google/SecWiki；

2.閱讀《精通腳本黑客》，雖然很舊也有錯(cuò)誤，但是入門(mén)還是可以的；看一些滲透筆記/視頻，了解滲透實(shí)戰(zhàn)的整個(gè)過(guò)程，可以Google（滲透筆記、滲透過(guò)程、入侵過(guò)程等）；

3周

熟悉滲透相關(guān)工具

熟悉AWVS、sqlmap、Burp、nessus、chopper、nmap、Appscan等相關(guān)工具的使用。

1.了解該類(lèi)工具的用途和使用場(chǎng)景，先用軟件名字Google/SecWiki；

2.下載無(wú)后們版的這些軟件進(jìn)行安裝；

3.學(xué)習(xí)并進(jìn)行使用，具體教材可以在SecWiki上搜索，例如：Brup的教程、sqlmap；

4.待常用的這幾個(gè)軟件都學(xué)會(huì)了可以安裝音速啟動(dòng)做一個(gè)滲透工具箱；

5周

滲透實(shí)戰(zhàn)操作

掌握滲透的整個(gè)階段并能夠獨(dú)立滲透小型站點(diǎn)。

1.網(wǎng)上找滲透視頻看并思考其中的思路和原理，關(guān)鍵字（滲透、SQL注入視頻、文件上傳入侵、數(shù)據(jù)庫(kù)備份、dedecms漏洞利用等等）；

2.自己找站點(diǎn)/搭建測(cè)試環(huán)境進(jìn)行測(cè)試，記住請(qǐng)隱藏好你自己；

思考滲透主要分為幾個(gè)階段，每個(gè)階段需要做那些工作，例如這個(gè)：PTES滲透測(cè)試執(zhí)行標(biāo)準(zhǔn)；

4.研究SQL注入的種類(lèi)、注入原理、手動(dòng)注入技巧；

5.研究文件上傳的原理，如何進(jìn)行截?cái)唷㈦p重后綴欺騙(IIS、PHP)、解析漏洞利用（IIS、Nignix、Apache）等，參照：上傳攻擊框架；

6.研究XSS形成的原理和種類(lèi)，具體學(xué)習(xí)方法可以Google/SecWiki，可以參考：XSS；

7.研究Windows/Linux提權(quán)的方法和具體使用，可以參考：提權(quán)；

8.可以參考: 開(kāi)源滲透測(cè)試脆弱系統(tǒng)；

1周

關(guān)注安全圈動(dòng)態(tài)

關(guān)注安全圈的最新漏洞、安全事件與技術(shù)文章。通

1.過(guò)SecWiki瀏覽每日的安全技術(shù)文章/事件；

通過(guò)Weibo/twitter關(guān)注安全圈的從業(yè)人員（遇到大牛的關(guān)注或者好友果斷關(guān)注），天天抽時(shí)間刷一下；

2.通過(guò)feedly/鮮果訂閱國(guó)內(nèi)外安全技術(shù)博客（不要僅限于國(guó)內(nèi)，平時(shí)多注意積累），沒(méi)有訂閱源的可以看一下SecWiki的聚合欄目；

4.養(yǎng)成習(xí)慣，每天主動(dòng)提交安全技術(shù)文章鏈接到SecWiki進(jìn)行積淀；

5.多關(guān)注下最新漏洞列表，推薦幾個(gè)：exploit-db、CVE中文庫(kù)、Wooyun等，遇到公開(kāi)的漏洞都去實(shí)踐下。

6.關(guān)注國(guó)內(nèi)國(guó)際上的安全會(huì)議的議題或者錄像，推薦SecWiki-Conference。

3周

熟悉Windows/Kali Linux

學(xué)習(xí)Windows/Kali Linux基本命令、常用工具；

1.熟悉Windows下的常用的cmd命令，例如：ipconfig,nslookup,tracert,net,tasklist,taskkill等；

2.熟悉Linux下的常用命令，例如：ifconfig,ls,cp,mv,vi,wget,service,sudo等；

3.熟悉Kali Linux系統(tǒng)下的常用工具，可以參考SecWiki,《Web Penetration Testing with Kali Linux》、《Hacking with Kali》等；

4.熟悉metasploit工具，可以參考SecWiki、《Metasploit滲透測(cè)試指南》。

3周

服務(wù)器安全配置

學(xué)習(xí)服務(wù)器環(huán)境配置，并能通過(guò)思考發(fā)現(xiàn)配置存在的安全問(wèn)題。

1.Windows2003/2008環(huán)境下的IIS配置，特別注意配置安全和運(yùn)行權(quán)限，可以參考：SecWiki-配置；

2.Linux環(huán)境下的LAMP的安全配置，主要考慮運(yùn)行權(quán)限、跨目錄、文件夾權(quán)限等，可以參考：SecWiki-配置；

3.遠(yuǎn)程系統(tǒng)加固，限制用戶(hù)名和口令登陸，通過(guò)iptables限制端口；

4.配置軟件Waf加強(qiáng)系統(tǒng)安全，在服務(wù)器配置mod_security等系統(tǒng)，參見(jiàn)SecWiki-ModSecurity；

5.通過(guò)Nessus軟件對(duì)配置環(huán)境進(jìn)行安全檢測(cè)，發(fā)現(xiàn)未知安全威脅。

4周

腳本編程學(xué)習(xí)

選擇腳本語(yǔ)言Perl/Python/PHP/Go/Java中的一種，對(duì)常用庫(kù)進(jìn)行編程學(xué)習(xí)。

1.搭建開(kāi)發(fā)環(huán)境和選擇IDE，PHP環(huán)境推薦Wamp和XAMPP，IDE強(qiáng)烈推薦Sublime，一些Sublime的技巧：SecWiki-Sublime；

2.Python編程學(xué)習(xí)，學(xué)習(xí)內(nèi)容包含：語(yǔ)法、正則、文件、網(wǎng)絡(luò)、多線(xiàn)程等常用庫(kù)，推薦《Python核心編程》，不要看完；

3.用Python編寫(xiě)漏洞的exp，然后寫(xiě)一個(gè)簡(jiǎn)單的網(wǎng)絡(luò)爬蟲(chóng)，可參見(jiàn)SecWiki-爬蟲(chóng)、視頻；

4.PHP基本語(yǔ)法學(xué)習(xí)并書(shū)寫(xiě)一個(gè)簡(jiǎn)單的博客系統(tǒng)，參見(jiàn)《PHP與MySQL程序設(shè)計(jì)（第4版）》、視頻；

5.熟悉MVC架構(gòu)，并試著學(xué)習(xí)一個(gè)PHP框架或者Python框架（可選）；

6.了解Bootstrap的布局或者CSS，可以參考：SecWiki-Bootstrap;

3周

源碼審計(jì)與漏洞分析

能獨(dú)立分析腳本源碼程序并發(fā)現(xiàn)安全問(wèn)題。

1.熟悉源碼審計(jì)的動(dòng)態(tài)和靜態(tài)方法，并知道如何去分析程序，參見(jiàn)SecWiki-審計(jì)；

2從Wooyun上尋找開(kāi)源程序的漏洞進(jìn)行分析并試著自己分析；

3.了解Web漏洞的形成原因，然后通過(guò)關(guān)鍵字進(jìn)行查找分析，參見(jiàn)SecWiki-代碼審計(jì)、高級(jí)PHP應(yīng)用程序漏洞審核技術(shù)；

4.研究Web漏洞形成原理和如何從源碼層面避免該類(lèi)漏洞，并整理成checklist。

5周

安全體系設(shè)計(jì)與開(kāi)發(fā)

能建立自己的安全體系，并能提出一些安全建議或者系統(tǒng)架構(gòu)。

1.開(kāi)發(fā)一些實(shí)用的安全小工具并開(kāi)源，體現(xiàn)個(gè)人實(shí)力；

2.建立自己的安全體系，對(duì)公司安全有自己的一些認(rèn)識(shí)和見(jiàn)解；

3.提出或者加入大型安全系統(tǒng)的架構(gòu)或者開(kāi)發(fā)；

4.看自己發(fā)展咯~

如何制作酒店用品類(lèi)企業(yè)網(wǎng)站？

簡(jiǎn)單 找個(gè)適合的企業(yè)網(wǎng)站模板直接做就行了 如果需要會(huì)員系統(tǒng)之類(lèi)的也可以用dedecms仿站 后臺(tái)功能更加齊全

后臺(tái)也可以看到留言?xún)?nèi)容？

可能是前臺(tái)網(wǎng)頁(yè)代碼問(wèn)題，你可以換幾種瀏覽器打開(kāi)試下，有時(shí)瀏覽器兼容問(wèn)題也會(huì)導(dǎo)致顯示異常，如果你用多種瀏覽器打開(kāi)，都是一樣的，那要對(duì)前臺(tái)代碼檢查一下，應(yīng)該是代碼有bug。

dede搬家后后臺(tái)進(jìn)不去？

就要進(jìn)不去是因?yàn)榫W(wǎng)絡(luò)的問(wèn)題。

為什么用phpcms的人比較少？

小米官網(wǎng)是phpcms做的吧？印象中有人提過(guò)，不確定。

phpcms，對(duì)新手不是很友好，我所謂的新手就是會(huì)點(diǎn)兒html能動(dòng)手寫(xiě)個(gè)模板什么的，剛裝上看著比較蒙。而dedecms后臺(tái)你對(duì)比一下就知道了，很簡(jiǎn)單啊，幾乎是裝上就能干活了。帝國(guó)用的少，但也差不多，最起碼能看懂的那種。

phpcms，需要點(diǎn)兒php基礎(chǔ)，dede和帝國(guó)如果只是建個(gè)站發(fā)文章，不需要……

再有就是誰(shuí)早的問(wèn)題，10多年前dede剛出來(lái)的時(shí)候，選dede還是帝國(guó)還是有人討論的，phpcms好像稍微晚了點(diǎn)兒（印象中啊，懶得查資料了）。dede和帝國(guó)我都用過(guò)，當(dāng)時(shí)用帝國(guó)家的一個(gè)備份mysql數(shù)據(jù)庫(kù)的叫什么帝國(guó)備份王一類(lèi)的產(chǎn)品，覺(jué)得超級(jí)好用，比phpmyadmin簡(jiǎn)單多了。帝國(guó)cms也嘗試了一下，但感覺(jué)沒(méi)dede好用，當(dāng)時(shí)只是個(gè)人感覺(jué)，忘記為什么了，可能是dede用著更順手些，就這樣一直用下來(lái)了。

另外就是10年前特別流行站群，我記得當(dāng)時(shí)有專(zhuān)門(mén)用dedecms做站群的程序，還有各種采集器，這時(shí)候dedecms和帝國(guó)、PHPcms的定位就徹底分清楚了，dedecms針對(duì)新手，做垃圾站，采集站，帝國(guó)針對(duì)中小企業(yè)，phpcms針對(duì)會(huì)PHP的有一定動(dòng)手能力的，各自都用自己用戶(hù)。

你感覺(jué)dedecms多是因?yàn)槔径嗪妹础?/p>

正經(jīng)干活，三個(gè)都一樣，都用各自的硬傷。找人根據(jù)需求自己寫(xiě)一套最靠譜。

以上，純粹個(gè)人經(jīng)驗(yàn)，dedecms用的多，另外兩個(gè)隨口一說(shuō)，說(shuō)錯(cuò)勿怪，用的少。