易優(yōu)cms缺點(diǎn)

現(xiàn)在當(dāng)下做個(gè)網(wǎng)站，比如說和公眾號(hào)搭配使用，或者微信端使用是很常見的。如果你是從來不用在微信，不會(huì)在微信做任何登錄使用或者交易，用易優(yōu)是可以的。

讓客戶滿意是我們工作的目標(biāo)，不斷超越客戶的期望值來自于我們對(duì)這個(gè)行業(yè)的熱愛。我們立志把好的技術(shù)通過有效、簡(jiǎn)單的方式提供給客戶，將通過不懈努力成為客戶在信息化領(lǐng)域值得信任、有價(jià)值的長(zhǎng)期合作伙伴，公司提供的服務(wù)項(xiàng)目有：空間域名、網(wǎng)站空間、營(yíng)銷軟件、網(wǎng)站建設(shè)、從化網(wǎng)站維護(hù)、網(wǎng)站推廣。

我個(gè)人覺得，微信里面打開網(wǎng)頁應(yīng)該是不可避免的。

客觀說，易優(yōu)cms最大缺點(diǎn)就是，?微站站點(diǎn)缺點(diǎn)漏洞?有點(diǎn)多，

第一個(gè)缺點(diǎn)，也是漏洞，微站已經(jīng)后臺(tái)關(guān)閉，點(diǎn)擊登錄或者個(gè)人中心，依然會(huì)跳出微站點(diǎn)登錄頁面。

第二個(gè)缺點(diǎn)，更是要命，易優(yōu)一個(gè)賣點(diǎn)不是就是商城、和支付功能嗎？在非微信端可以使用，一旦在微信端使用各種支付問題限制一個(gè)又一個(gè)，支付功能幾乎就是癱瘓，

易優(yōu)的特色商城支付功能，微信端支付卡主就不動(dòng)了。

比如支付的時(shí)候，支付限制提示【手機(jī)端微信使用本站賬號(hào)登錄僅可余額支付】

再比如連余額充值的時(shí)候【手機(jī)端微信使用本站賬號(hào)登錄僅可余額支付】這樣限制有點(diǎn)不應(yīng)該。

再比如，我在瀏覽器端注冊(cè)的賬號(hào)，關(guān)閉微站，微信端用賬號(hào)密碼登錄，支付訂單提示【已在手機(jī)端瀏覽器生成訂單，請(qǐng)到手機(jī)瀏覽器完成支付】

這樣限制有點(diǎn)惡劣。

第三個(gè)缺點(diǎn)，也算是漏洞，微站點(diǎn)打開以后，非微信端注冊(cè)的賬號(hào)，沒有綁定微站微信登錄入口

第四個(gè)缺點(diǎn)，有的時(shí)候明明剛剛登錄賬號(hào)了，切換一個(gè)可能就有退出登錄的情況。

第五個(gè)缺點(diǎn)，一般問問題，不管是群里面還是易優(yōu)問答論壇，有點(diǎn)拉胯。

總結(jié)一下，微站站點(diǎn)就是一個(gè)拖累，沒有微站拖累可能還不至于如此尷尬。也就是說有微站點(diǎn)導(dǎo)致了微信端用起來死難受，你要關(guān)閉微站點(diǎn)嗎？還是一堆限制，做出這拖后腿，沒有優(yōu)化好的微站點(diǎn)就是吃力不討好，還不如直接了當(dāng)，直接把微站點(diǎn)徹底刪除，或者想辦法優(yōu)化一下。

既然做了微站點(diǎn)，就應(yīng)該是手機(jī)瀏覽器，微信端，電腦端都要可以使用，易優(yōu)cms因?yàn)槲⒄居绊懥耸謾C(jī)端使用，實(shí)在應(yīng)該優(yōu)化一下。

說完這些缺點(diǎn)，在說說優(yōu)點(diǎn)，總體來說后臺(tái)操作比較簡(jiǎn)潔易操作。還有購(gòu)買授權(quán)域名是永久授權(quán)，更新升級(jí)是免費(fèi)的。

希望改進(jìn)優(yōu)化，發(fā)展越來越好

【墨者學(xué)院】：CMS系統(tǒng)漏洞分析溯源(第2題)

背景介紹

某單位需新上線了一個(gè)系統(tǒng)，安全工程師“墨者”負(fù)責(zé)對(duì)系統(tǒng)的安全檢測(cè)，確保該系統(tǒng)在上線后不存在安全漏洞。

實(shí)訓(xùn)目標(biāo)

1、了解并熟練使用linux命令；

2、了解PHPCMS的后臺(tái)地址及其他相關(guān)漏洞資料；

3、了解html源碼的重要性。

解題方向

登錄后臺(tái)后執(zhí)行l(wèi)inux系統(tǒng)命令，查看web源碼。

靶場(chǎng)環(huán)境：可以看到使用了phpcms9.1.13版本的內(nèi)容管理系統(tǒng)。

在網(wǎng)上可以找到，默認(rèn)的后臺(tái)登錄地址為/admin.php，其實(shí)在robots.txt文件中也能夠看到，應(yīng)該養(yǎng)成查看robots.txt文件的習(xí)慣，里面還是有一些有用的信息的。

打開admin.php鏈接，發(fā)現(xiàn)用戶和密碼都是已經(jīng)默認(rèn)填好的，所以直接登錄到后臺(tái)管理里面去。

在網(wǎng)上看到有三種方法：第一種，使用拓展里面的木馬查殺進(jìn)行key文件的查找，但是我沒有查到；第二種是利用遠(yuǎn)程命令執(zhí)行的方法來進(jìn)行目錄的查看；第三種是在界面的模板里面寫入一句話，再getshell。

第一種：phpcms后臺(tái)低權(quán)限任意命令執(zhí)行。

這個(gè)漏洞是在烏云中發(fā)布出來的，編號(hào)為WooYun-2015-0153630，具體的漏洞分析見： 。

利用的POC是：index.php?0=[命令]m=contentc=contenta=public_categorystype=addmenuid=822;${system($_GET[0])}pc_hash=vad6K3from=block

先ls查看目錄，再查看key.txt文件即可。

第二種：一句話木馬寫入。

上面的方法只是查看目錄文件，并沒有拿到網(wǎng)站的權(quán)限。寫入一句話，再用蟻劍來進(jìn)行連接，然后拿權(quán)限，這種方法才是比較通用的。

在界面中的index.html文件中寫入一句話，然后按index.php?m=search連接。雖然網(wǎng)上都可，但是不知道為啥我的蟻劍返回?cái)?shù)據(jù)為空，失敗……

1.phpcms的這個(gè)后臺(tái)低權(quán)限命令執(zhí)行漏洞，不太清楚具體適用于哪些版本，可以先記著，這個(gè)一個(gè)滲透點(diǎn)。

2.一般進(jìn)入了cms后臺(tái)管理，通用的方法就是找模板，寫入一句話，連接，上傳大馬。

版主必看是不是phpcms漏洞后臺(tái)左側(cè)所有功能命令不顯示

不是phpcms的馬腳，以前我碰到過，有時(shí)刻是網(wǎng)速問題，有時(shí)刻是瀏覽器問題，跟phpcms沒緊要。不過pc后臺(tái)搞這個(gè)花哨而無用的功能，真沒須要，嚴(yán)重影響操作速度。

本文題目：易優(yōu)cms后臺(tái)漏洞 易優(yōu)cms二次開發(fā)
鏈接分享：http://vcdvsql.cn/article42/doisdec.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供搜索引擎優(yōu)化、定制網(wǎng)站、品牌網(wǎng)站建設(shè)、全網(wǎng)營(yíng)銷推廣、Google、域名注冊(cè)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源： 創(chuàng)新互聯(lián)