原文来自:https://www.zixuephp.com

dede的漏洞公认的多,接手这个网站也接触了不少,现在就把几种接触到的或者了解到的漏洞记录下来,让大家可以提高警惕,防止网站被攻击。

1.dede dialog目录下的配置文件漏洞

如果有能力的同学最好好好研究下这个目录下的文件,漏洞太多了,先只说我遇到的一处
在include/dialog下的config.php第35行

?

1

2

3

4

5

6

7

8

9

10

11

12

13

14

if($cuserLogin->getUserID() <=0 )

{

if(empty($adminDirHand))

{

ShowMsg("<b>提示:需输入后台管理目录才能登录</b><br /><form>请输入后台管理目录名:<input type='hidden' name='gotopage' value='".urlencode($dedeNowurl)."' /><input type='text' name='adminDirHand' value='dede' style='width:120px;' /><input style='width:80px;' type='submit' name='sbt' value='转入登录' /></form>", "javascript:;");

exit();

}

$adminDirHand = HtmlReplace($adminDirHand, 1);

$gurl = "../../{$adminDirHand}/login.php?gotopage=".urlencode($dedeNowurl);

echo "<script language='javascript'>location='$gurl';</script>";

exit();

}