dedecms 欄目數(shù)量，黑客滲透測試該如何學(xué)習(xí)？

Web安全相關(guān)概念

熟悉基本概念（SQL注入、上傳、XSS、CSRF、一句話木馬等）。

1.通過關(guān)鍵字（SQL注入、上傳、XSS、CSRF、一句話木馬等）進(jìn)行Google/SecWiki；

2.閱讀《精通腳本黑客》，雖然很舊也有錯誤，但是入門還是可以的；看一些滲透筆記/視頻，了解滲透實戰(zhàn)的整個過程，可以Google（滲透筆記、滲透過程、入侵過程等）；

3周

熟悉滲透相關(guān)工具

熟悉AWVS、sqlmap、Burp、nessus、chopper、nmap、Appscan等相關(guān)工具的使用。

1.了解該類工具的用途和使用場景，先用軟件名字Google/SecWiki；

2.下載無后們版的這些軟件進(jìn)行安裝；

3.學(xué)習(xí)并進(jìn)行使用，具體教材可以在SecWiki上搜索，例如：Brup的教程、sqlmap；

4.待常用的這幾個軟件都學(xué)會了可以安裝音速啟動做一個滲透工具箱；

5周

滲透實戰(zhàn)操作

掌握滲透的整個階段并能夠獨立滲透小型站點。

1.網(wǎng)上找滲透視頻看并思考其中的思路和原理，關(guān)鍵字（滲透、SQL注入視頻、文件上傳入侵、數(shù)據(jù)庫備份、dedecms漏洞利用等等）；

2.自己找站點/搭建測試環(huán)境進(jìn)行測試，記住請隱藏好你自己；

思考滲透主要分為幾個階段，每個階段需要做那些工作，例如這個：PTES滲透測試執(zhí)行標(biāo)準(zhǔn)；

4.研究SQL注入的種類、注入原理、手動注入技巧；

5.研究文件上傳的原理，如何進(jìn)行截斷、雙重后綴欺騙(IIS、PHP)、解析漏洞利用（IIS、Nignix、Apache）等，參照：上傳攻擊框架；

6.研究XSS形成的原理和種類，具體學(xué)習(xí)方法可以Google/SecWiki，可以參考：XSS；

7.研究Windows/Linux提權(quán)的方法和具體使用，可以參考：提權(quán)；

8.可以參考: 開源滲透測試脆弱系統(tǒng)；

1周

關(guān)注安全圈動態(tài)

關(guān)注安全圈的最新漏洞、安全事件與技術(shù)文章。通

1.過SecWiki瀏覽每日的安全技術(shù)文章/事件；

通過Weibo/twitter關(guān)注安全圈的從業(yè)人員（遇到大牛的關(guān)注或者好友果斷關(guān)注），天天抽時間刷一下；

2.通過feedly/鮮果訂閱國內(nèi)外安全技術(shù)博客（不要僅限于國內(nèi)，平時多注意積累），沒有訂閱源的可以看一下SecWiki的聚合欄目；

4.養(yǎng)成習(xí)慣，每天主動提交安全技術(shù)文章鏈接到SecWiki進(jìn)行積淀；

5.多關(guān)注下最新漏洞列表，推薦幾個：exploit-db、CVE中文庫、Wooyun等，遇到公開的漏洞都去實踐下。

6.關(guān)注國內(nèi)國際上的安全會議的議題或者錄像，推薦SecWiki-Conference。

3周

熟悉Windows/Kali Linux

學(xué)習(xí)Windows/Kali Linux基本命令、常用工具；

1.熟悉Windows下的常用的cmd命令，例如：ipconfig,nslookup,tracert,net,tasklist,taskkill等；

2.熟悉Linux下的常用命令，例如：ifconfig,ls,cp,mv,vi,wget,service,sudo等；

3.熟悉Kali Linux系統(tǒng)下的常用工具，可以參考SecWiki,《Web Penetration Testing with Kali Linux》、《Hacking with Kali》等；

4.熟悉metasploit工具，可以參考SecWiki、《Metasploit滲透測試指南》。

3周

服務(wù)器安全配置

學(xué)習(xí)服務(wù)器環(huán)境配置，并能通過思考發(fā)現(xiàn)配置存在的安全問題。

1.Windows2003/2008環(huán)境下的IIS配置，特別注意配置安全和運行權(quán)限，可以參考：SecWiki-配置；

2.Linux環(huán)境下的LAMP的安全配置，主要考慮運行權(quán)限、跨目錄、文件夾權(quán)限等，可以參考：SecWiki-配置；

3.遠(yuǎn)程系統(tǒng)加固，限制用戶名和口令登陸，通過iptables限制端口；

4.配置軟件Waf加強系統(tǒng)安全，在服務(wù)器配置mod_security等系統(tǒng)，參見SecWiki-ModSecurity；

5.通過Nessus軟件對配置環(huán)境進(jìn)行安全檢測，發(fā)現(xiàn)未知安全威脅。

4周

腳本編程學(xué)習(xí)

選擇腳本語言Perl/Python/PHP/Go/Java中的一種，對常用庫進(jìn)行編程學(xué)習(xí)。

1.搭建開發(fā)環(huán)境和選擇IDE，PHP環(huán)境推薦Wamp和XAMPP，IDE強烈推薦Sublime，一些Sublime的技巧：SecWiki-Sublime；

2.Python編程學(xué)習(xí)，學(xué)習(xí)內(nèi)容包含：語法、正則、文件、網(wǎng)絡(luò)、多線程等常用庫，推薦《Python核心編程》，不要看完；

3.用Python編寫漏洞的exp，然后寫一個簡單的網(wǎng)絡(luò)爬蟲，可參見SecWiki-爬蟲、視頻；

4.PHP基本語法學(xué)習(xí)并書寫一個簡單的博客系統(tǒng)，參見《PHP與MySQL程序設(shè)計（第4版）》、視頻；

5.熟悉MVC架構(gòu)，并試著學(xué)習(xí)一個PHP框架或者Python框架（可選）；

6.了解Bootstrap的布局或者CSS，可以參考：SecWiki-Bootstrap;

3周

源碼審計與漏洞分析

能獨立分析腳本源碼程序并發(fā)現(xiàn)安全問題。

1.熟悉源碼審計的動態(tài)和靜態(tài)方法，并知道如何去分析程序，參見SecWiki-審計；

2從Wooyun上尋找開源程序的漏洞進(jìn)行分析并試著自己分析；

3.了解Web漏洞的形成原因，然后通過關(guān)鍵字進(jìn)行查找分析，參見SecWiki-代碼審計、高級PHP應(yīng)用程序漏洞審核技術(shù)；

4.研究Web漏洞形成原理和如何從源碼層面避免該類漏洞，并整理成checklist。

5周

安全體系設(shè)計與開發(fā)

能建立自己的安全體系，并能提出一些安全建議或者系統(tǒng)架構(gòu)。

1.開發(fā)一些實用的安全小工具并開源，體現(xiàn)個人實力；

2.建立自己的安全體系，對公司安全有自己的一些認(rèn)識和見解；

3.提出或者加入大型安全系統(tǒng)的架構(gòu)或者開發(fā)；

4.看自己發(fā)展咯~

網(wǎng)站建設(shè)中應(yīng)該注意哪些問題？

網(wǎng)站安全防護(hù)，作為一個復(fù)雜性、多方面、最重要的一項工程，上至國家安全，小到個人博客，無一幸免都會受到威脅。比如競爭最為激烈的游戲行業(yè)，從PC端到移動端攻擊無處不在。趨于利益的誘惑，貿(mào)然搭建棋牌網(wǎng)站，對網(wǎng)站的系統(tǒng)、業(yè)務(wù)安全沒有做好防護(hù)，遭受到DDoS攻擊就束手無策了。損失無法避免，況且9成以上的網(wǎng)站攻擊是通過海外服務(wù)器發(fā)起的，前期購買：百度CDN、加速樂、安全狗等產(chǎn)品有效，后期對于網(wǎng)站安全防護(hù)可能無能為力。

一、網(wǎng)站安全措施不足的原因

①、魔高一尺道高一丈，互聯(lián)網(wǎng)技術(shù)發(fā)展迅猛，黑客攻擊技術(shù)也愈加精進(jìn)，普通用戶網(wǎng)站防不勝防。保護(hù)web服務(wù)器的安全，可以安裝一款好用的web應(yīng)用防火墻，設(shè)定專門的防護(hù)策略，保護(hù)應(yīng)用層免受攻擊，減少漏洞和威脅。;

②、很多網(wǎng)站為了追求更多的交互效果，滿足用戶體驗，越復(fù)雜的程序，存在的漏洞越多。偶爾不關(guān)注安全代碼，網(wǎng)站設(shè)計開發(fā)者、維護(hù)人員一不留神就會被盯上;

③、大部分游戲服務(wù)器前期沒有做好預(yù)備帶寬，而DDoS 使用UDP報文、TCP報文攻擊游戲服務(wù)器的帶寬，攻擊十分暴力，致使服務(wù)器帶寬劇增，結(jié)果就是服務(wù)器擁塞，玩家訪問不了服務(wù)器。提供按需保護(hù)或永遠(yuǎn)保護(hù)的功能，自動檢測和減輕針對網(wǎng)站和Web應(yīng)用程序的攻擊。還可以保護(hù)DNS服務(wù)器免受網(wǎng)絡(luò)層和應(yīng)用層攻擊。全方面維護(hù)網(wǎng)絡(luò)安全。

④、大部分網(wǎng)站對流量攻擊是無法防御的，黑客通過TCP協(xié)議的漏洞，利用海量真實肉雞向服務(wù)器發(fā)起TCP請求，如果你的服務(wù)器只能接收2000個/秒左右，突然遇到遇到20w個TCP請求，服務(wù)器TCP隊列占滿，CPU升高、內(nèi)存過載，造成服務(wù)器宕機，而且這種攻擊的流量很小，和你真實業(yè)務(wù)一致，難以發(fā)現(xiàn)又很難防御。

⑤、除了以上幾種，跟多的是：數(shù)據(jù)庫信息泄漏、域名泛解析、301跳轉(zhuǎn)等非常有針對性的攻擊， 目前，網(wǎng)站只有做好基礎(chǔ)的安全防護(hù)：有條件就采用云計算或服務(wù)器托管的方式保證服務(wù)器安全，互聯(lián)數(shù)據(jù)網(wǎng)絡(luò)專線也是不錯的選擇。如果突然出現(xiàn)網(wǎng)站被攻擊的現(xiàn)象，做好網(wǎng)站定期備份是非常重要的。

由于網(wǎng)站安全的復(fù)雜性，安全防護(hù)更加復(fù)雜，僅僅依靠單一的產(chǎn)品或者統(tǒng)一的服務(wù)無法從根本上解決網(wǎng)站安全問題。但是只要我們認(rèn)識到網(wǎng)站安全的重要性，針對性的進(jìn)行防護(hù)還是能夠解決相當(dāng)部分的安全問題，行業(yè)除了選擇“香港高防服務(wù)器”，還可以從下面6個角度講解下如何進(jìn)行網(wǎng)站安全防護(hù)：

二、網(wǎng)站安全加固防護(hù)的方法

1、域名解析的網(wǎng)站防護(hù)：域名泛解析是導(dǎo)致域名解析時間長、解析錯誤、非法劫持的主要原因。大多數(shù)企業(yè)和個人隨便將域名托管到一些免費域名解析平臺上進(jìn)行解析。這里小編推薦一些知名的域名服務(wù)商，如萬網(wǎng)、新網(wǎng)、互聯(lián)數(shù)據(jù)等，這些多是十多年的域名服務(wù)商，解析安全穩(wěn)定，出現(xiàn)穩(wěn)定的概率較小。

2、服務(wù)器安全防護(hù)：任何網(wǎng)站防護(hù)多是首先針對服務(wù)器進(jìn)行的，獨立服務(wù)器、云主機雖然是不錯的選擇，但也最容易遭受攻擊，網(wǎng)站打開很慢，服務(wù)器流量很大，就表示，你的服務(wù)器可能被人攻擊。你可以在服務(wù)器上安裝安全狗、360網(wǎng)站衛(wèi)士等相關(guān)軟件，就像我們個人電腦一樣定期掃描、查殺。

3、網(wǎng)站安全防護(hù)：服務(wù)器安全防護(hù)可以保護(hù)整個服務(wù)器的安全，但是針對每個網(wǎng)站，安全策略肯定不一樣，所以這時候如果還有攻擊的話，請針對網(wǎng)站再進(jìn)行如iis防護(hù)的網(wǎng)站安全防護(hù)。這時候可以安裝一些網(wǎng)站安全軟件或者通過防火墻等進(jìn)行安全防護(hù)。特別是dedecms一定要進(jìn)行安全防護(hù)。

4、網(wǎng)站后臺安全防護(hù)：這個在我們學(xué)習(xí)建站的時候多經(jīng)常被提醒，像織夢等免費網(wǎng)站程序，我們安裝的時候默認(rèn)后臺:域名/dede/和賬號密碼都是默認(rèn)admin，這樣方便了自己也方便了別人，造成網(wǎng)站后臺被盜進(jìn)行掛馬。為了保護(hù)網(wǎng)站后臺的安全，需要更改賬號密碼、修改文件夾名字。

5、網(wǎng)站代碼安全防護(hù)：如果你的網(wǎng)站程序是自己一個代碼一個代碼敲出來的，一定要注意代碼安全，一定要檢查程序漏洞，只有彌補好漏洞才能減少攻擊。特別是對一些網(wǎng)上流行的網(wǎng)站系統(tǒng)，在編寫或者開發(fā)的時候，一定要注意修復(fù)網(wǎng)站系統(tǒng)存在漏洞。

6、網(wǎng)站加速防護(hù)：網(wǎng)站首次遭受攻擊可以使用云加速，百度云加速、360DNS、互聯(lián)數(shù)據(jù)CDN加速等，因為免費的加速防護(hù)基本上沒用了，而且加速后網(wǎng)站部分地區(qū)打不開，所以如果有需要的企業(yè)或者網(wǎng)站請選擇付費型加速產(chǎn)品，切記遭受攻擊才使用加速服務(wù)。

倚欄獨酌意思？

解釋

亦作“ 倚闌 ”。憑靠在欄干上。 唐 趙嘏 《宿靈巖寺》詩：“倚欄香徑晚，移石 太湖 秋。” 宋 周邦彥 《一落索》詞：“欲知日日倚欄愁，但問取、亭前柳。” 清 安夏 《雜興》詩：“有竹深藏屋，無花強倚靠。

倚的解釋 倚 ǐ 靠著，倚靠。倚賴。倚傍。倚托。倚重。 仗恃：倚勢。倚恃。倚仗。 偏，歪：不偏不倚。 隨著，和著：“使慎夫人鼓瑟，上自倚瑟而歌”。 筆畫數(shù)：； 部首：亻； 筆順編號：

欄的解釋 欄 （欄） á 遮攔的東西：欄桿。木欄。石欄。 養(yǎng)家畜的圈（刵 ）：牛欄。欄廄。 報刊或廣播、電視按內(nèi)容、性質(zhì)劃分的版面或?qū)ｉT的時間；亦指出版物版面的部位：欄目。專欄。新聞欄。 紙、書、織物上的格子

怎樣去搭建自己的獨立站？

如何搭建網(wǎng)站？

做跨境電商的賣家都想搭建網(wǎng)站銷售產(chǎn)品，一般都分為兩種搭建：個人搭建和服務(wù)商搭建。

個人搭建要是跨境大佬，不僅懂得技術(shù)而且還要精通代碼等等。其實，個人搭建過程復(fù)雜，容易出錯，甚至搞了半天廢了大勁兒都沒搞好。錢也花了，時間也花了，網(wǎng)站卻沒有上線。

在跨境電商領(lǐng)域混了幾年，建議跨境電商小白找服務(wù)商搭建網(wǎng)站，運營店鋪。目前，有許多跨境電商建站工具都成為跨境電商賣家的首選，比如Shopify、ShopBase、等。每月只要花費19$起的月租費來活躍店鋪營銷，關(guān)于搭建網(wǎng)站，這些建站服務(wù)商都為你免費提供，甚至還有免費模板及插件應(yīng)用。更便利的是他們還有專業(yè)客服為你支持運營。有什么不懂或需要什么問題即可艾特他們。這樣對跨境小白來說即便利又有保障。

我目前試用過這兩個Shopify和ShopBase等建站工具，并總結(jié)出來一個對比表，供大家參考：

總體來看，基于價格、質(zhì)量、產(chǎn)品等因素，我看ShopBase建站工具更適合個人賣家、小型企業(yè)。關(guān)于這個服務(wù)提供的質(zhì)量，每月19$起的月租費真是不錯的，值得我們考慮。

那么如何使用ShopBase創(chuàng)建代發(fā)貨網(wǎng)站

今天向大家概略一下有用信息，使得小白從零開始設(shè)置在線商店:

創(chuàng)建ShopBase商店即可搭建網(wǎng)站

建議先體驗ShopBase試用版，在14天即可體驗ShopBase建站功能、模板、等，而無需信用卡，也不會被扣費。

試用期過后，你可以考慮到買/升級月租費以繼續(xù)使用ShopBase店鋪。

步驟：設(shè)置》》》賬號》》》升級套餐

供大家參考ShopBase月租費：

設(shè)置商店

到這步驟，你可以開始添加要銷售的產(chǎn)品。此外，你需要設(shè)置域名并綁定至少一個支付渠道，以確保客戶可以找到你的在線商店并為你的產(chǎn)品付款。

將產(chǎn)品添加到商店。在ShopBase上，可以：

手動創(chuàng)建產(chǎn)品

使用CSV文件導(dǎo)入產(chǎn)品

使用Migrate to ShopBase應(yīng)用導(dǎo)入產(chǎn)品

使用Ali Dropship Connector應(yīng)用導(dǎo)入產(chǎn)品

將域名綁定到商店。可以：

直接在ShopBase后臺中購買并管理域名

將從第三方購買的域名綁定到ShopBase商店

設(shè)置支付渠道

ShopBase為用戶提供這些支付渠道。你可以選擇不同的付款方式來支付訂單：

優(yōu)化商店

完成所有基本設(shè)置后，你可以通過添加跟蹤代碼、選擇最合適的主題、創(chuàng)建追加銷售和交叉銷售優(yōu)惠以及設(shè)置必要的運輸信息來優(yōu)化商店。

將跟蹤代碼添加到商店

可以添加Google Analytics等頁面效率跟蹤代碼和跟蹤Facebook、Google、Klaviyo廣告效果的代碼。

你也可以通過ShopBase的內(nèi)置功能來擴展新的銷售渠道，并增加通過移動應(yīng)用程序、社交網(wǎng)絡(luò)或直接購買的客戶數(shù)量。

為您的商店選擇并自定義主題

根據(jù)你銷售的產(chǎn)品而選出適合自己的主題。主題都是免費的。

創(chuàng)建追加銷售和交叉銷售優(yōu)惠

使用ShopBase內(nèi)置的 Boost Upsell應(yīng)用，以促使客戶購買更多產(chǎn)品并增加您的銷量。

設(shè)置運費

您應(yīng)該根據(jù)正在銷售的產(chǎn)品和要運往的地區(qū)設(shè)置符合的運費。

需要手動運費的運輸方式包括：

包郵客戶提貨各種常規(guī)的郵費由履行服務(wù)管理的交付。

手動運費有3種類型：

基于重量的運費（Weight-based rates）：根據(jù)訂單的總重量設(shè)置運費。基于價格的運費（Price-based rates）：根據(jù)訂單的價值設(shè)置運費。基于商品的運費 （ Item-based rates）：根據(jù)購物車中的每個商品設(shè)置運費。開始銷售

立即注冊ShopBase店鋪，體驗14天免費試用

希望我本文的分享對大家有所幫助，需要幫忙或咨詢什么即可留言給我喲~

你的點贊是我繼續(xù)分享的動力

dedecms欄目鏈接怎么調(diào)用？

文章頁調(diào)用所屬欄目的鏈接：{dede:type typeid='0' row=1}[field:typelink /]{/dede:type}示例：

{dede:field.typename/}

注意：{dede:field.typeurl/}、{dede:field.typelink/}這兩個標(biāo)簽在文章頁無效{dede:field.typename/}這個標(biāo)簽在文章頁有效欄目頁調(diào)用當(dāng)前欄目鏈接：{dede:field name='typeurl'/}示例：

{dede:field name='typename'/}