dedecms 目錄安裝,黑客為什么可以做到無需知道源碼的情況下找出系統(tǒng)漏洞?
感謝邀請。
每天活躍在互聯(lián)網(wǎng)上的應(yīng)用成百上千萬,包括PC端以及目前越來越主流的移動端,不僅有通過瀏覽器訪問的,還有需要安裝客戶端的,不僅有與服務(wù)器強交互的,還有獨立運行的本地軟件。
而這其中,開源的(包括開放源碼的)產(chǎn)品少之又少。但,這并不妨礙一個黑客找出其中的漏洞。換句話說,找漏洞并不需要源碼。
當(dāng)然了,在有源碼的情況下,挖洞是一件難度系數(shù)指數(shù)下降的事情。雖然讀懂一個大型軟件源碼耗時又耗力,但對于黑客來說,可以略去其中大半的代碼來閱讀,只關(guān)心可能造成危險的部分。就像一名建筑工程師看一份大樓的施工圖,要看懂大樓的結(jié)構(gòu)、建筑材料、水電線路等等各方各面,而對于《Prison Break》中的Michael Scofield可能只關(guān)心地下管道的分布。
那么,在沒有源碼的情況下,黑客怎么挖洞呢?這種情況,我們可以稱之為黑盒。而挖洞,的確需要與程序編輯者持有完全相反的角度和看法。對于輸入輸出點,程序猿考慮的是正確的輸入獲得正確的輸出,而黑客則考慮特殊的非法輸入獲得異常的有價值輸出。那系統(tǒng)登錄來說,程序猿考慮的是用戶輸入注冊的用戶名、口令能夠在登錄時與數(shù)據(jù)庫中的數(shù)據(jù)匹配成功,而黑客則會嘗試引起數(shù)據(jù)庫查詢異常的輸入作為用戶名、口令內(nèi)容,希望應(yīng)用返回更多數(shù)據(jù)庫中的有效數(shù)據(jù)。
對于黑客來說,不知道源碼情況下,只要有輸入就可以了,不管是應(yīng)用具有的功能頁面,還是一個輸入接口,通過一種叫做模糊測試的技術(shù)就可以開始你的挖洞之旅。模糊測試可以構(gòu)造一系列正常和異常的輸入值,根據(jù)應(yīng)用的返回來判斷脆弱點的存在。
在黑客的武器庫中,模糊測試只是其中一個利器,像什么漏掃、逆向、脫殼、注入、暴破等等不一而足。
作為程序猿,在編寫程序時不僅要從正向角度完成應(yīng)用的功能,還需要從黑客角度逆向分析應(yīng)用在處理異常輸入時的反應(yīng),才能做出高安全的應(yīng)用。
如何從網(wǎng)站程序中找網(wǎng)站后臺地址?
通常情況下網(wǎng)站后臺都在根目錄下,比如admin.php,manage.php等文件,比如常見的論壇程序discuz后臺地址就是admin.php;還有后臺地址無非是/admin,/manage,就織夢系統(tǒng)的默認后臺地址/dede
織夢后臺更新文檔時提示模板文件不存在?
安全設(shè)置 1、以下目錄:data、templets、uploads、a設(shè)置可讀寫不可執(zhí)行權(quán)限。其中a目錄為文檔HTML默認保存路徑,可以在后臺進行更改;2、以下目錄:include、member、plus、dede設(shè)置為可讀可執(zhí)行不可寫入權(quán)限。其中后臺管理目錄(默認dede),可自行修改;3、如果不需要使用會員、專題,可以直接刪除member、special目錄;4、刪除install安裝目錄;5、管理員帳號密碼盡量設(shè)置復(fù)雜,發(fā)布文章可以新建頻道管理員,并且只給予相關(guān)權(quán)限;6、Mysql數(shù)據(jù)庫鏈接,不使用root用戶,單獨建立新用戶,并給予:SELECT、INSERT、UPDATE、DELETE、CREATE、DROP、INDEX、ALTER、CREATE TEMPORARY TABLES權(quán)限;7、定期進行備份網(wǎng)站目錄和數(shù)據(jù)庫,并在后臺進行文件校驗、病毒掃描、系統(tǒng)錯誤修復(fù);8、改變織夢data目錄位置。
如何修改織夢安裝目錄里面的httpd?
1、在安裝后的Apache目錄下,有一個conf目錄,在這個目錄里,有一個"httpd.conf"文件,要做的,就是修改這個文件.。
2、在這個文件里,凡是以"#"開頭的每一行,都是無效的,如果你想讓你的設(shè)置起作用,就要把行首的"#"去掉.
3、找到DirectoryIndex這段.把它改成DirectoryIndexindex.phpindex.htmlindex.html這樣,你的網(wǎng)站目錄的默認首頁是index.php,如果沒有index.php系統(tǒng)會自動尋找index.html、html做為默認首頁了。
4、注意事項:index.phpindex.Html之間要有一個空格5、另外還可以操作一下其它的:6、找到ServerRoot這段.將它設(shè)成你的Apache安裝目錄,我的是ServerRoot"D:/ApacheGroup/Apache2"7、找到DocumentRoot這段.把他設(shè)成你網(wǎng)站的根目錄,我的是DocumentRoot"D:/ApacheGroup/web。
織夢添加文章時如何設(shè)置格式?
把下載好了,這個uploads文件夾下面的東西全部上傳到FTP,然后安裝是,域名/install/index.php,根據(jù)提示安裝即可,修改模板的話兩個方法(前提你自己已經(jīng)有模板文件了);
一:直接覆蓋默認的模板文件即可;目錄(根目錄/templets/default/
)二:把模板文件放到一個文件夾下面,然后上傳到根目錄/templets下面,然后修改后臺 系統(tǒng) ——系統(tǒng)參數(shù)——默認模板風(fēng)格是default 修改成你的文件夾名字即可。