dedecms漏洞工具，怎樣判斷一個(gè)網(wǎng)站是否適合優(yōu)化？

發(fā)表一下我的個(gè)人觀點(diǎn)，僅供參考。我個(gè)人認(rèn)為優(yōu)化分幾個(gè)方向：UI頁(yè)面的優(yōu)化、網(wǎng)站架構(gòu)的優(yōu)化、SOE優(yōu)化、內(nèi)容審核優(yōu)化、安全優(yōu)化等。那么問題來了，就是我們想優(yōu)化哪個(gè)方向。簡(jiǎn)單介紹一下，這幾個(gè)方向的個(gè)人理解。

UI頁(yè)面的優(yōu)化

這方面的優(yōu)化，好比是人換衣服，網(wǎng)站也一樣，數(shù)據(jù)是不變的，變化的是前臺(tái)的展現(xiàn)形式。對(duì)普通用戶的直觀感覺可能是，網(wǎng)站變漂亮了，但實(shí)際上可能功能并沒有變化，內(nèi)容也未發(fā)生變化。而在優(yōu)化的過程中，確實(shí)與后臺(tái)的技術(shù)有一定關(guān)聯(lián)性的，請(qǐng)專業(yè)的UI設(shè)計(jì)公司設(shè)計(jì)靜態(tài)頁(yè)面，請(qǐng)后端的開發(fā)工程師來具體對(duì)接。

網(wǎng)站架構(gòu)的優(yōu)化

網(wǎng)站一般涉及用到的中間件、數(shù)據(jù)庫(kù)、負(fù)載均衡、CDN加速等等，沒有哪個(gè)方式是最佳的，只有最適合你的。如果你的網(wǎng)站訪問量不大，可能普通的CMS，采用DEDE織夢(mèng)這類產(chǎn)品，用LAMP方式就可以迅速建站。大型的網(wǎng)站很多人喜歡用JAVA去開發(fā)，中間件用Apache、Weblogic數(shù)據(jù)庫(kù)用Oracle什么的也比較多，當(dāng)然這不是大型網(wǎng)站選擇這種方式的理由，只是多數(shù)人認(rèn)為適合。也有很多網(wǎng)站用PHP、Python寫的，也很好。如果想優(yōu)化網(wǎng)站架構(gòu)，那么要找出目前網(wǎng)站到底存在什么問題，對(duì)癥下藥。例如你發(fā)現(xiàn)網(wǎng)站存在高并發(fā)，那需要從應(yīng)用的負(fù)載分擔(dān)上調(diào)整網(wǎng)站架構(gòu)。網(wǎng)站架構(gòu)上優(yōu)化，這還是要具體問題具體分析，根據(jù)您網(wǎng)站的實(shí)際情況定，沒法給出判斷標(biāo)準(zhǔn)。

SOE優(yōu)化

這方面的優(yōu)化，簡(jiǎn)單的說，就是提高網(wǎng)站被搜索引擎搜索到的概率，提升網(wǎng)站的點(diǎn)擊率。因?yàn)樗阉饕妫f白了，也就是個(gè)機(jī)器，它如何根據(jù)你網(wǎng)站的內(nèi)容，推薦給合適的用戶，這就需要你的網(wǎng)站要有它能識(shí)別到的一些信息才行。這種也有專業(yè)的公司團(tuán)隊(duì)來做，相對(duì)網(wǎng)站架構(gòu)的調(diào)整，我個(gè)人覺得更簡(jiǎn)單一些，比較容易開展。

內(nèi)容審核優(yōu)化

很多網(wǎng)站，尤其是那些管理不規(guī)范的小型站點(diǎn)，小公司，網(wǎng)站可能也就是一個(gè)管理員賬號(hào)，上傳內(nèi)容，什么都能發(fā)。那對(duì)大型的機(jī)構(gòu)，這可能就會(huì)有問題了，網(wǎng)站管理員上傳的內(nèi)容是否合適，連個(gè)審核機(jī)制都沒有，這就比較尷尬了。但是這方面的優(yōu)化，我個(gè)人覺得是在網(wǎng)站一開始搭建的時(shí)候就要考慮，已經(jīng)既成事實(shí)的，那就比較難辦了，肯定涉及網(wǎng)站開發(fā)上的大規(guī)模調(diào)整。

安全優(yōu)化

安全優(yōu)化，這個(gè)涉及網(wǎng)站頁(yè)面、漏洞掃描、基礎(chǔ)網(wǎng)絡(luò)等。網(wǎng)站的頁(yè)面漏洞，例如Sql注入、跨站腳本漏洞等等，這個(gè)最好是找專業(yè)人員對(duì)網(wǎng)站做一次滲透測(cè)試，找到漏洞問題，請(qǐng)開發(fā)人員對(duì)照修復(fù)建議修改。漏洞掃描，主要對(duì)中間件、數(shù)據(jù)庫(kù)軟件、操作系統(tǒng)等進(jìn)行掃描，需要運(yùn)維人員做配置的優(yōu)化或補(bǔ)丁安裝。基礎(chǔ)網(wǎng)絡(luò)的優(yōu)化，需要根據(jù)網(wǎng)站遭受攻擊的情況，配置WAF、防火墻、DDos設(shè)備等等，就不一一列舉了。如果涉及到增加網(wǎng)站的日志審計(jì)、權(quán)限分離等，這可能要開發(fā)大動(dòng)干戈，這部分是比較難的，既成事實(shí)的網(wǎng)站，這方面工作很難開展。安全優(yōu)化，其他方面大部分工作都可以開展，問題不大。

以上是我對(duì)網(wǎng)站優(yōu)化方面的個(gè)人理解，深入探討可以再留言，謝謝。

黑客滲透測(cè)試該如何學(xué)習(xí)？

Web安全相關(guān)概念

熟悉基本概念（SQL注入、上傳、XSS、CSRF、一句話木馬等）。

1.通過關(guān)鍵字（SQL注入、上傳、XSS、CSRF、一句話木馬等）進(jìn)行Google/SecWiki；

2.閱讀《精通腳本黑客》，雖然很舊也有錯(cuò)誤，但是入門還是可以的；看一些滲透筆記/視頻，了解滲透實(shí)戰(zhàn)的整個(gè)過程，可以Google（滲透筆記、滲透過程、入侵過程等）；

3周

熟悉滲透相關(guān)工具

熟悉AWVS、sqlmap、Burp、nessus、chopper、nmap、Appscan等相關(guān)工具的使用。

1.了解該類工具的用途和使用場(chǎng)景，先用軟件名字Google/SecWiki；

2.下載無后們版的這些軟件進(jìn)行安裝；

3.學(xué)習(xí)并進(jìn)行使用，具體教材可以在SecWiki上搜索，例如：Brup的教程、sqlmap；

4.待常用的這幾個(gè)軟件都學(xué)會(huì)了可以安裝音速啟動(dòng)做一個(gè)滲透工具箱；

5周

滲透實(shí)戰(zhàn)操作

掌握滲透的整個(gè)階段并能夠獨(dú)立滲透小型站點(diǎn)。

1.網(wǎng)上找滲透視頻看并思考其中的思路和原理，關(guān)鍵字（滲透、SQL注入視頻、文件上傳入侵、數(shù)據(jù)庫(kù)備份、dedecms漏洞利用等等）；

2.自己找站點(diǎn)/搭建測(cè)試環(huán)境進(jìn)行測(cè)試，記住請(qǐng)隱藏好你自己；

思考滲透主要分為幾個(gè)階段，每個(gè)階段需要做那些工作，例如這個(gè)：PTES滲透測(cè)試執(zhí)行標(biāo)準(zhǔn)；

4.研究SQL注入的種類、注入原理、手動(dòng)注入技巧；

5.研究文件上傳的原理，如何進(jìn)行截?cái)唷㈦p重后綴欺騙(IIS、PHP)、解析漏洞利用（IIS、Nignix、Apache）等，參照：上傳攻擊框架；

6.研究XSS形成的原理和種類，具體學(xué)習(xí)方法可以Google/SecWiki，可以參考：XSS；

7.研究Windows/Linux提權(quán)的方法和具體使用，可以參考：提權(quán)；

8.可以參考: 開源滲透測(cè)試脆弱系統(tǒng)；

1周

關(guān)注安全圈動(dòng)態(tài)

關(guān)注安全圈的最新漏洞、安全事件與技術(shù)文章。通

1.過SecWiki瀏覽每日的安全技術(shù)文章/事件；

通過Weibo/twitter關(guān)注安全圈的從業(yè)人員（遇到大牛的關(guān)注或者好友果斷關(guān)注），天天抽時(shí)間刷一下；

2.通過feedly/鮮果訂閱國(guó)內(nèi)外安全技術(shù)博客（不要僅限于國(guó)內(nèi)，平時(shí)多注意積累），沒有訂閱源的可以看一下SecWiki的聚合欄目；

4.養(yǎng)成習(xí)慣，每天主動(dòng)提交安全技術(shù)文章鏈接到SecWiki進(jìn)行積淀；

5.多關(guān)注下最新漏洞列表，推薦幾個(gè)：exploit-db、CVE中文庫(kù)、Wooyun等，遇到公開的漏洞都去實(shí)踐下。

6.關(guān)注國(guó)內(nèi)國(guó)際上的安全會(huì)議的議題或者錄像，推薦SecWiki-Conference。

3周

熟悉Windows/Kali Linux

學(xué)習(xí)Windows/Kali Linux基本命令、常用工具；

1.熟悉Windows下的常用的cmd命令，例如：ipconfig,nslookup,tracert,net,tasklist,taskkill等；

2.熟悉Linux下的常用命令，例如：ifconfig,ls,cp,mv,vi,wget,service,sudo等；

3.熟悉Kali Linux系統(tǒng)下的常用工具，可以參考SecWiki,《Web Penetration Testing with Kali Linux》、《Hacking with Kali》等；

4.熟悉metasploit工具，可以參考SecWiki、《Metasploit滲透測(cè)試指南》。

3周

服務(wù)器安全配置

學(xué)習(xí)服務(wù)器環(huán)境配置，并能通過思考發(fā)現(xiàn)配置存在的安全問題。

1.Windows2003/2008環(huán)境下的IIS配置，特別注意配置安全和運(yùn)行權(quán)限，可以參考：SecWiki-配置；

2.Linux環(huán)境下的LAMP的安全配置，主要考慮運(yùn)行權(quán)限、跨目錄、文件夾權(quán)限等，可以參考：SecWiki-配置；

3.遠(yuǎn)程系統(tǒng)加固，限制用戶名和口令登陸，通過iptables限制端口；

4.配置軟件Waf加強(qiáng)系統(tǒng)安全，在服務(wù)器配置mod_security等系統(tǒng)，參見SecWiki-ModSecurity；

5.通過Nessus軟件對(duì)配置環(huán)境進(jìn)行安全檢測(cè)，發(fā)現(xiàn)未知安全威脅。

4周

腳本編程學(xué)習(xí)

選擇腳本語(yǔ)言Perl/Python/PHP/Go/Java中的一種，對(duì)常用庫(kù)進(jìn)行編程學(xué)習(xí)。

1.搭建開發(fā)環(huán)境和選擇IDE，PHP環(huán)境推薦Wamp和XAMPP，IDE強(qiáng)烈推薦Sublime，一些Sublime的技巧：SecWiki-Sublime；

2.Python編程學(xué)習(xí)，學(xué)習(xí)內(nèi)容包含：語(yǔ)法、正則、文件、網(wǎng)絡(luò)、多線程等常用庫(kù)，推薦《Python核心編程》，不要看完；

3.用Python編寫漏洞的exp，然后寫一個(gè)簡(jiǎn)單的網(wǎng)絡(luò)爬蟲，可參見SecWiki-爬蟲、視頻；

4.PHP基本語(yǔ)法學(xué)習(xí)并書寫一個(gè)簡(jiǎn)單的博客系統(tǒng)，參見《PHP與MySQL程序設(shè)計(jì)（第4版）》、視頻；

5.熟悉MVC架構(gòu)，并試著學(xué)習(xí)一個(gè)PHP框架或者Python框架（可選）；

6.了解Bootstrap的布局或者CSS，可以參考：SecWiki-Bootstrap;

3周

源碼審計(jì)與漏洞分析

能獨(dú)立分析腳本源碼程序并發(fā)現(xiàn)安全問題。

1.熟悉源碼審計(jì)的動(dòng)態(tài)和靜態(tài)方法，并知道如何去分析程序，參見SecWiki-審計(jì)；

2從Wooyun上尋找開源程序的漏洞進(jìn)行分析并試著自己分析；

3.了解Web漏洞的形成原因，然后通過關(guān)鍵字進(jìn)行查找分析，參見SecWiki-代碼審計(jì)、高級(jí)PHP應(yīng)用程序漏洞審核技術(shù)；

4.研究Web漏洞形成原理和如何從源碼層面避免該類漏洞，并整理成checklist。

5周

安全體系設(shè)計(jì)與開發(fā)

能建立自己的安全體系，并能提出一些安全建議或者系統(tǒng)架構(gòu)。

1.開發(fā)一些實(shí)用的安全小工具并開源，體現(xiàn)個(gè)人實(shí)力；

2.建立自己的安全體系，對(duì)公司安全有自己的一些認(rèn)識(shí)和見解；

3.提出或者加入大型安全系統(tǒng)的架構(gòu)或者開發(fā)；

4.看自己發(fā)展咯~

如何注冊(cè)網(wǎng)站？

現(xiàn)在建個(gè)網(wǎng)站還是比較容易的，最簡(jiǎn)單的幾乎不需要什么成本，首先你需要準(zhǔn)備域名和服務(wù)器。

阿里云新注冊(cè)的賬號(hào)會(huì)有個(gè)六塊錢云虛擬主機(jī)購(gòu)買機(jī)會(huì)，如果只是新手或者就弄幾個(gè)頁(yè)面不需要大的內(nèi)存，那這個(gè)云虛擬主機(jī)就夠你用了。

接下來去新網(wǎng)或萬網(wǎng)這些域名服務(wù)商網(wǎng)站注冊(cè)你需要的域名。首選.com后綴的域名。以用阿里云虛擬主機(jī)為例，你得把注冊(cè)好的域名備案，訪問阿里云官方網(wǎng)站，備案專區(qū)，按提示進(jìn)行操作，備案大概得二十天左右。

等域名備案成功，那作為搭建一個(gè)網(wǎng)站來說已經(jīng)準(zhǔn)備妥當(dāng)了，登錄域名所在賬號(hào)，對(duì)域名進(jìn)行解析，解析到買的云虛擬主機(jī)，解析方法看網(wǎng)站提示。

現(xiàn)在你已經(jīng)可以通過域名來訪問網(wǎng)站了，只不過你的網(wǎng)站還沒有程序，你能看到的可能只是一個(gè)靜態(tài)HTML頁(yè)面，接下來你就需要把你的網(wǎng)站程序部署到云主機(jī)上。以dedecms為例，從dedecms官網(wǎng)下載源碼，解壓后把uploads里的所有文件上傳到主機(jī)根目錄下，然后訪問:你的域名/install/，進(jìn)行安裝，具體方法可以百度織夢(mèng)安裝教程，很多詳細(xì)，按步驟來即可，安裝完成后就完成了，你已經(jīng)可以通過域名訪問你的dede網(wǎng)站，然后可以去下載個(gè)織夢(mèng)模板，具體方法百度教程即可，資源很多，到這里就已經(jīng)搭建了一個(gè)完整的有備案網(wǎng)站。

是不是修改下阿里云密碼？

大家好，我是老李，謝謝你邀請(qǐng)我回答自己領(lǐng)域相關(guān)專業(yè)問題！

首先給你個(gè)肯定答案，只修改阿里云密碼肯定不行

為什么這樣說呢，聽老李來給你詳細(xì)的解答下

阿里云密碼只是管理服務(wù)器重啟等一些簡(jiǎn)單操作的密碼，這個(gè)首先肯定要修改，但不是修改了這個(gè)密碼就萬無一失了。

網(wǎng)站還有后臺(tái)管理密碼，這個(gè)和阿里云密碼不是一樣的功能，所以這個(gè)密碼必須修改，不修改就可以登陸后臺(tái)任意刪除網(wǎng)站內(nèi)容。

再有就是FTP密碼，這個(gè)是用來上傳下載網(wǎng)站內(nèi)容的，這個(gè)也必須修改，不修改就可以用FTP登陸服務(wù)器刪除服務(wù)器上所有的東西。

還有就是網(wǎng)站可能被人家留有后門，這樣不管你修改了所有的密碼，人家還會(huì)一樣登陸，這個(gè)才是最麻煩的，建議你找專業(yè)人員給你檢查網(wǎng)站是否有后門。

專業(yè)的人士，給你專業(yè)的解答，希望對(duì)你有幫助！大家可以關(guān)注老李，看更多電腦、安防相關(guān)視頻教程！

請(qǐng)問如果網(wǎng)站請(qǐng)專業(yè)網(wǎng)站公司做靠譜嗎？

你如果自己不懂點(diǎn)技術(shù)、產(chǎn)品和運(yùn)營(yíng)方面的知識(shí)，不能把自己的想法、商業(yè)模式完整的輸出和執(zhí)行，老實(shí)說你通過網(wǎng)站創(chuàng)業(yè)難度還是很大的，因?yàn)橐话愕耐獍ㄕ竟炯夹g(shù)其實(shí)都很low，不說別的，你就讓他做一個(gè)微信登錄、微信支付寶收款和小程序同步他都做不了，都不是錢的問題，另外你的想法和技術(shù)人員溝通后會(huì)發(fā)生很多損耗，也就是說最后做出來的東西和你想要的東西可能差之千里，所以你要么自己非常熟悉這個(gè)領(lǐng)域，要么你能找一個(gè)特別專業(yè)的人一起做，因?yàn)閯?chuàng)業(yè)是長(zhǎng)期的事情，不是一蹴而就的做一個(gè)網(wǎng)站就完了，你可以看看我的網(wǎng)站和我學(xué)生的網(wǎng)站，都是一個(gè)人獨(dú)立完成的，心里怎么想就怎么做。