帝國網(wǎng)站管理系統(tǒng)經(jīng)常被攻擊怎么回事

帝國EmpireCMS7.5最新后臺漏洞審計

創(chuàng)新互聯(lián)公司服務(wù)項目包括吉林網(wǎng)站建設(shè)、吉林網(wǎng)站制作、吉林網(wǎng)頁制作以及吉林網(wǎng)絡(luò)營銷策劃等。多年來，我們專注于互聯(lián)網(wǎng)行業(yè)，利用自身積累的技術(shù)優(yōu)勢、行業(yè)經(jīng)驗、深度合作伙伴關(guān)系等，向廣大中小型企業(yè)、政府機構(gòu)等提供互聯(lián)網(wǎng)行業(yè)的解決方案，吉林網(wǎng)站推廣取得了明顯的社會效益與經(jīng)濟效益。目前，我們服務(wù)的客戶以成都為中心已經(jīng)輻射到吉林省份的部分城市，未來相信會繼續(xù)擴大服務(wù)區(qū)域并繼續(xù)獲得客戶的支持與信任！

1概述

最近在做審計和WAF規(guī)則的編寫，在CNVD和CNNVD等漏洞平臺尋找各類CMS漏洞研究編寫規(guī)則時順便抽空對國內(nèi)一些小的CMS進行了審計，另外也由于代碼審計接觸時間不是太常，最近一段時間也跟著公司審計項目再次重新的學(xué)習(xí)代碼審計知識，對于入行已久的各位審計大佬來說，自己算是新手了。對于審計也正在不斷的學(xué)習(xí)和積累中。于是抽空在CNVD上選取了一個國內(nèi)小型CMS進行審計，此次審計的CMS為EmpireCMS_V7.5版本。從官方下載EmpireCMS_V7.5后進行審計，審計過程中主要發(fā)現(xiàn)有三處漏洞（應(yīng)該還有其他漏洞暫未審計）：配置文件寫入、后臺代碼執(zhí)行及后臺getshell，造成這幾處漏洞的原因幾乎是由于對輸入輸出參數(shù)未作過濾和驗證所導(dǎo)致。

2前言

帝國網(wǎng)站管理英文譯為”EmpireCMS”，它是基于B/S結(jié)構(gòu)，安全、穩(wěn)定、強大、靈活的網(wǎng)站管理系統(tǒng).帝國CMS 7.5采用了系統(tǒng)模型功能：用戶通過此功能可直接在后臺擴展與實現(xiàn)各種系統(tǒng)，如產(chǎn)品、房產(chǎn)、供求…等等系統(tǒng)，因此特性，帝國CMS系統(tǒng)又被譽為“萬能建站工具”;大容量數(shù)據(jù)結(jié)構(gòu)設(shè)計;高安全嚴謹設(shè)計;采用了模板分離功能：把內(nèi)容與界面完全分離，靈活的標簽+用戶自定義標簽，使之能實現(xiàn)各式各樣的網(wǎng)站頁面與風(fēng)格;欄目無限級分類;前臺全部靜態(tài)：可承受強大的訪問量;強大的信息采集功能;超強廣告管理功能……

3代碼審計部分

拿到該CMS后先把握大局按照往常一樣先熟悉該CMS網(wǎng)站基本結(jié)構(gòu)、入口文件、配置文件及過濾，常見的審計方法一般是：通讀全文發(fā)（針對一些小型CMS）、敏感函數(shù)回溯法以及定向功能分析法，自己平常做審計過程中這幾個方法用的也比較多。在把握其大局熟悉結(jié)構(gòu)后，再通過本地安裝去了解該CMS的一些邏輯業(yè)務(wù)功能并結(jié)合黑盒進行審計，有時候黑盒測試會做到事半功倍。

常見的漏洞個人總結(jié)有：

1）程序初始化安裝

2）站點信息泄漏

3）文件上傳

4）文件管理

5）登陸認證

6）數(shù)據(jù)庫備份

7）找回密碼

8）驗證碼

若各位大佬在審計過程中還有發(fā)現(xiàn)其他漏洞可補充交流。

帝國CMS7.5的數(shù)據(jù)庫配置文件config.php經(jīng)常被修改，如何隱藏數(shù)據(jù)庫配置文件路徑或是修補漏洞？

分析問題原因:

你的config被更改，先查清原因：1.服務(wù)器賬戶被控制；2.程序掛馬;

解決問題：

服務(wù)器賬戶泄露，先查看所有用戶，不用的用戶直接刪除，再修改密碼（密碼隨機生成存儲最好）

掛馬的先掃碼，找的程序點，刪除木馬，目錄下的配置文件 chmod config.php 644 只讀取，及時更新cms官方通報漏洞補丁，如（get webshell漏洞等等）

帝國cms被黑客入侵了，網(wǎng)站發(fā)布不了文章怎么辦？

被入侵了的話，第一步，要知道他從哪里進來的，不然以后還會反復(fù)被弄，查找好漏洞以后，修補漏洞，對服務(wù)器安全加固升級，做好安全措施，保障網(wǎng)站能繼續(xù)穩(wěn)定運行。

當前標題：帝國cms有漏洞 帝國cms到底好不好
瀏覽路徑：http://vcdvsql.cn/article20/ddcdjjo.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供響應(yīng)式網(wǎng)站、標簽優(yōu)化、品牌網(wǎng)站設(shè)計、網(wǎng)站改版、ChatGPT、關(guān)鍵詞優(yōu)化

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)