平时用dedecms开发经常会用到一些标签,特别是首页、栏目页、内容页,这些页面都会用到标签的调用,比如title、keywords、description、arclist、field.body等,为了方便查找,ytkah特地整理了dedecms标签,大家可以用ctrl+F实现搜索。调用标签时一定要保证标签的完整性,曾经因为{dede:field.description /}少了一个“/”查了大半天,泪的教训。 dedecms首页标签 网站名称:{dede:global.cfg_webname/} 网站
织梦(DedeCms)也是一个国产内容管理系统,曾经爆出过众多漏洞,甚至还有人开发了dedecms漏洞一键扫描器
在使用dedecms模板的过程中经常会用到一些默认dedecms没有的字段,或者要自己添加自定义内容模型,后台是添加好了,文章也录入了,可(字段无法显示)前台调用不出来怎么办呢?要想实现如下效果:
首先大家都知道在Dedecms中,list标签是可以调用文章内容的,调用格式就不再此冗述了。从我个人来说,我非常不喜欢用list标签调用,有可能我会尽量使用arclist标签来调用,原因就是arclist功能很强大。我最喜欢用的就是arclist标签中的limit=’ ‘,当然row=’ ‘同样很科学。因此我总是希望arclist足够强大到可以实现我的网站中的各种功能。比如列表页调用文章内容。
织梦dedecms在列表加了个下载按钮,但是提醒:找不到所需要的软件资源!不能在列表页直接下载的,必须进入内容页才能够下载资源。所以,必须得有些改动。那么,网上有些资料是介绍这个的,但是都不全
1、开启会员模块 2、攻击者拥有一个正常的会员账号 3、目标没有设置安全问题
本题算是一道较为综合的渗透题,要求对两个服务器系统进行渗透,这两个 CMS 同样能在网上找到许多漏洞,常用作渗透测试的练习靶机。
最近dedeCMS爆了好多洞(0day),于是将最近的漏洞进行复现和整理便成为了本篇漏洞集合。期待师傅们的指导与交流。 cookie伪造导致任意前台用户登录 0x00 相关环境 源码信息:DedeCMS-V5.7-UTF8-SP2-20180109 问题文件: \DedeCMS-V5.7-UTF8-SP2\uploads\member\index.php 漏洞类型:cookie伪造导致前台任意用户登录 站点地址:http://www.dedecms.com/ 0x01 漏洞分析 在文件\Dede
既然已经完成织梦DEDECMS仿站中首页和列表页的标签调用整理之后,我们还需要整理内容页面的整理即可。内容页面稍微简单一些,只要标题头部调用,以及当篇文章的内容和相关信息。因为是公司类别的内容,所以不会涉及到留言的模块,这里我也不使用留言功能。
DedeCMS 5.7 SP2版本中的uploads/include/dialog/select_images_post.php文件存在文件上传漏洞,远程攻击者可利用该漏洞上传并执行任意PHP代码。
本文将对dedecms(织梦cms)所存在的漏洞进行分析和复现,因为代码审计较弱,代码这一块的分析借鉴了一些大佬们的思想,在这里对大佬们表示衷心的感谢。
先找到include/common.inc.php文件,把下面代码贴进去(我贴的是我网站上的,具体可根据需要修改):
DEDECMS织梦CMS程序如今官方也不在更新,但是还是有很多人使用。这款内容管理系统的CMS程序曾经确实是非常的火热,基本上企业网站、内容类的网站都会使用这款程序,在于这款程序的结构非常的简单。但是也有一些缺点,比如经常有漏洞,但是如果取消交互功能还是比较安全的。
这几天老蒋在设计一款DEDECMS织梦CMS的主题,已经是将近十年没有接触这款CMS程序。在内容页设置过程中,根据需求标题中是不要显示标题的,而是使用简短标题。我们在发布DEDECMS文章的时候在标题后面是可以看到有简略标题选项。
老蒋已经有好几年没有接触过DEDECMS织梦程序。前几天有看到织梦有在开发更新5.8版本,而且有计划在10月份的时候上线。实际上对于功能和易用性看,内容管理系统是比较有优势的,便捷度甚至比安全性较好的帝国CMS好很多,只不过安全性织梦差一些。如果能解决安全问题,那势必还会恢复早年的活力。
织梦dedecms设置了图片集内容模型的网站栏目文档可以上传图集图片,并提供了单页多图样式、幻灯片样式、多缩略图样式三种表现方式的调用,但是如果仅仅要调用所有的图集图片要怎么调用?dedecms提供了productimagelist标签,通过该标签可以在内容页获取图片集的所有图片。 基本语法: 1 2 3 4 5 {dede:productimagelist} href="[field:imgsrc/]" title="[field:text/]"> src="[field:imgsrc/]" alt="
前面我们很多朋友都有看到织梦DEDECMS程序官方要求主动去申请商业授权缴纳5800元每个网站,对于很多个人站长或者企业网站来说这个成本是不现实的,因为建站企业网站的朋友都有知道普通的企业网站接单过来都可能低于这个价格。比如老蒋以前帮朋友搭建的网站居然还是免费给他们的,我自己还要贴主机和域名给他们,肯定不会再买付费的DEDECMS授权的。
前面老蒋有整理到dedecms织梦程序首页模板常用的调用标签,在这里我们继续列表模板使用的标签。一般我们列表模板用于栏目所有文章或者子栏目的列表中使用的。其实我们可以设置多个栏目列表模板,只要我们在分类给不同的分类设置不同的列表模板都可以。
很多站长在使用DedeCMS搭建网站的时候,都希望能够在文章内容页底部调用几篇与本篇文章相关的文章,这样不但可以去除DEDECMS默认模版原有的生硬,增加美观度,而且对SEO优化和提升网站PV也有很大的帮助,织梦文章内容页默认模板缺少相关文章,对用户及搜索引擎查找及判断文章主题不利。
在文章的末尾或侧边栏添加相关文章可以提高用户的黏度,提高pv,增加se的好印象(哈哈),那么dedecms如何调用相关文章呢?有三种方法可以实现。
综述 2018年01月09日,Dedecms官方更新了DedeCMS V5.7 SP2正式版,后续在10日有网友爆出其存在任意用户密码重置漏洞。 攻击难度:低。 危害程度:高。 官方修复情况如下:目前暂未发布升级补丁 ---- 什么是DedeCMS 织梦内容管理系统(DeDeCMS) 以简单、实用、开源而闻名,是国内最知名的PHP开源网站管理系统,也是使用用户最多的PHP类CMS系统,在经历多年的发展,目前的版本无论在功能,还是在易用性方面,都有了长足的发展和进步。广泛应用于
想必大伙建站都会写文章,随着时间的推移,你的智慧结晶会越来越多,一般的建站程序早帮你想好了,把这些文章做成一个列表,比如dedecms栏目列表,便于观众浏览,但有个问题就是dedecms文章列表页标题没有序号,如果是默认的话,第N页的标题和第一页的标题一模一样,对se相当不友好,它会认为你的网站重复页面太多,可能会对你的网站区别对待,那就太委屈了。
作者:LoRexxar'@知道创宇404实验室 0x01 背景 织梦内容管理系统(DedeCms)以简单、实用、开源而闻名,是国内最知名的PHP开源网站管理系统,也是使用用户最多的PHP类CMS系统,在经历多年的发展,目前的版本无论在功能,还是在易用性方面,都有了长足的发展和进步,DedeCms免费版的主要目标用户锁定在个人站长,功能更专注于个人网站或中小型门户的构建,当然也不乏有企业用户和学校等在使用该系统。 2018年1月10日, 锦行信息安全公众号公开了一个关于DeDeCMS前台任意用户密码修改
2018年的中秋节即将来临,我们Sine安全公司,最近接到很多用dedecms程序的企业公司网站客户的反馈,说是公司网站经常被篡改,包括网站首页的标题内容以及描述内容,都被改成了什么北京sai车,北京P-K等等的内容,而且大多数的网站客户都是从百度搜索关键词,点击进公司网站会被直接跳转到赌bo网站上去。
我们平常使用织梦后台做建站的时候都会发现,如果调用版权信息的时候,在底部使用cfg_powerby调用的时候出现power by dedecms的链接信息,而这个链接又是个导出链接,我们怎么样才能一劳永逸的直接去掉呐,下面站优云小编就跟大家分享一下。
织梦内容管理系统(DedeCms) 以简单、实用、开源而闻名,是国内最知名的PHP开源网站管理系统,也是使用用户最多的PHP类CMS系统,在经历多年的发展,目前的版本无论在功能,还是在易用性方面,都有了长足的发展和进步,DedeCms免费版的主要目标用户锁定在个人站长,功能更专注于个人网站或中小型门户的构建,当然也不乏有企业用户和学校等在使用本系统。 最近在看DEDE的代码的时候偶然发现DEDE有一个投票系统,然后深入的研究了一下投票系统发现这个投票系统存在一个无限投票的逻辑漏洞。使用谷歌谷歌一下这个系统发
我们很多站长朋友选择织梦DedeCMS程序的主要原因在于是可以生成HTML静态文件的,这样在一定程度上是可以减少服务器的负载的。所以我们一般做大数据的内容管理系统比较多,当然还有一个原因就是DEDECMS程序比较简单易用,以及拥有很多免费的主题模板。
其实这个漏洞出来有一段时间了,不算是一个影响特别大的漏洞,毕竟dede是一个内容管理系统,用户这一块本来就基本没有用。该漏洞的精髓就是一个弱类型的比较:'0.0'=='0'
PageAdmin、WordPress与dedeCMS作为国内三大cms建站系统,经常在功能性,操作性和负载等方面进行对比,每个cms的侧重点都不一样,所以没有绝对的哪个好,哪个不好,有的只是是否你的网站类型,或者是否适合你的使用习惯,这里只对三个cms的模板制作进行一个简单的对比,希望能给新手朋友一个借鉴,下面以调用文章列表页数据为例,讲解三个cms的模板制作区别。
怎样才能搞好网站安全防护的工作今天这篇文章本应该在csdn、天天快报、天涯论坛等大网站手机用户数据信息被泄漏时就应该写的,可那时候确实都没有写网站安全防护层面文章内容的推动力,许多自媒体都是在讨论网络信息安全层面的事儿,许多文章内容以至于有千篇一律的一小部分,一直到上星期我的好多个公司网站连续不断被黑客入侵,网站安全防护的工作才真真正正引发了我的注重。当中2个用dedecms做的公司网站,公司网站底端被直接挂了很多的隱藏超链接,我也是在检测友链的情况下发觉了有很多的导出来超链接,依据网页源代码才发觉公司网站被侵入了。
在这篇博文中,我将分享对 Dedecms(或翻译成英文的“Chasing a Dream”CMS)的技术评论,包括它的攻击面以及它与其他应用程序的不同之处。最后,我将以一个影响v5.8.1 pre-release的预认证远程代码执行漏洞结束。这是一款有趣的软件,因为它的历史可以追溯到其最初发布以来的 14 年多,而 PHP 在这些年来发生了很大的变化。
这两天我们是不是看到有关于熟悉的DEDECMS织梦程序有发布通告,告知从10月25日24时之前,如果个人或者企业有在使用DEDECMS织梦程序的,且有在用商业用途的,必须要进行购买商业授权才可以使用,否则就可能遭受法律诉讼。一时间,我们站长圈内各种讨论,有的同学给客户做的企业网站几百个都是用的DEDECMS程序,这下有些犯难,如果一个授权5800元,那100个就是58万。这个成本还是相当高的,有些朋友接单的企业网站都没有5800元。
dedecms2013年6月7日补丁或者新版本dedecms程序,去掉power by dedecms的方法
我们知道dedecms有一个面包屑导航的调用函数,{dede:field name='position'/},这个样式是固定的,有时要个性化一些的话需要修改很多地方,那么织梦cms有没其他方法获取当前文章所在栏目URL呢?有的! {dede:field.typename/} 这样的话就可以自定义首页链接的锚文本了,
我们在设置织梦DEDECMS程序主题的时候,在内容页中一般会有当前位置。一来是体验上会好一些,让用户可以找到网站的通道。二来对于网站搜索引擎等抓取还是有一定的作用的。在这里老蒋正好在给客户企业网站的DEDECMS网站设计内容页主题,所以要加上当前位置样式。
织梦内容管理系统(DedeCms)以简单、实用、开源而闻名,是国内最知名的PHP开源网站管理系统,也是使用用户最多的PHP类CMS系统,在经历多年的发展,目前的版本无论在功能,还是在易用性方面,都有了长足的发展和进步,DedeCms免费版的主要目标用户锁定在个人站长,功能更专注于个人网站或中小型门户的构建,当然也不乏有企业用户和学校等在使用该系统。
织梦CMS近期的新版本至2013-6-7更新包以来,不管新版还是旧版更新补丁包,更新后网站页底都会出现power by dedecms。power by dedecms什么意思呢,那power by dedecms怎么去掉呢,请大家看以下方法:
根据第二篇,我们有信心去遍历root key的所有可能, 但是我们还需要一个碰撞点, 才能真正得到root key的值, 本篇找到了两个碰撞点, 并编写了简单的POC来获取root key。
虽然DedeCMS织梦程序已经很久没有更新升级,但是依旧有很多人在使用。比如我们可以看到市面上有很多第三方的DedeCMS主题和插件,从生态角度看,目前DedeCMS算是国产CMS程序中使用最多的。从功能上看目前已经基本完善,这个也可能是老蒋认为一直没有升级更新的原因之一。
补充:第二种方法找到/include/arc.listview.class.php以及arc.archives.class.php文件,查找和分别替换为"空";查找:全部替换为"空",保存,覆盖原文件即可,相信大家阅读完这篇文章都有很大的收获,米米素材网小编每天都会为大家更新不同的知识。
0×00 概述 2018年1月,网上爆出dedecms v5.7 sp2的前台任意用户密码重置和前台任意用户登录漏洞,加上一个管理员前台可修改其后台密码的安全问题,形成漏洞利用链,这招组合拳可以重置管理员后台密码。 先来看看整体利用流程: 重置admin前台密码—>用admin登录前台—>重置admin前后台密码 0×01 前台任意用户密码重置分析 组合拳第一式:重置管理员前台密码 漏洞文件:member\resetpassword.php:75 else if(
最近一个月时间我们不少的朋友都在忙着将织梦CMS迁移到其他免费或者便宜的CMS程序中。其中我们有些朋友会迁移到标签相似的易优CMS,但是标签还是有区别的。我们在迁移程序后需要将原有的模板主题换成新程序的标签,当然对应的模板名称也是需要更换的。
这款适合织梦DEDECMS程序的主题适合内容站点,比如适合范文类或者资讯类。功能不是很复杂,就简单的首页、列表和内容页。面包屑导航、相关图文文章、推荐文章、侧栏的随机文章等都是比较齐全的,适合有需要较大内容资源站点。
自那些平凡而伟大的程序猿开发了内容管理系统(cms),为了让看客们更快地找到自己感兴趣的内容,他们不断完善站内搜索代码,形成了一个小型的站内搜索引擎。可能有些网站模板设计师没考虑到seo的问题,很多站内搜索结果列表页面标题都是一样,造成很多重复页面,虽然可以屏蔽蜘蛛访问搜索结果页面。
织梦dedecms,在整个互联网中许多企业网站,个人网站,优化网站都在使用dede作为整个网站的开发架构,dedecms采用php+mysql数据库的架构来承载整个网站的运行与用户的访问,首页以及栏目页生成html静态化,大大的加快的网站访问速度,以及搜索引擎的友好度,利于百度蜘蛛的抓取,深受广大站长以及网站运营者的喜欢。最近我们发现dedecms漏洞,存在高危的parse_str函数sql注入漏洞。
建站往往需要根据客户的需求来增加相应的功能,比如预约。平时用比较多的是织梦系统,那么如何用dedecms自定义表单创建简易自助预约系统呢? 进入dedecms后台,左侧菜单中依次点击“核心”
基本用法(导入文件test.txt到table1表中,txt文件中的行分隔符为\r\n,默认tab键为字段分隔符,txt文件中的每个字段按顺序对应column1、column2,。。。导入表中)
玩dedecms有一段时间,对它的字段不是很了解,在此做个记录,方便日后查询 dede数据库字段说明: dede_addonarticle 附加文章表 aid int(11) 文章编号 typeid int(11) 分类栏目编号 body mediumtext 文章内容 dede_addonflash 附加Flash表 aid int(11) FLASH编号 typeid int(11) 分类栏目编号 filesize varchar(10)
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
ICP备案
对象存储
腾讯会议
实时音视频
