网创优客建站品牌官网
为成都网站建设公司企业提供高品质网站建设
热线:028-86922220
成都专业网站建设公司

定制建站费用3500元

符合中小企业对网站设计、功能常规化式的企业展示型网站建设

成都品牌网站建设

品牌网站建设费用6000元

本套餐主要针对企业品牌型网站、中高端设计、前端互动体验...

成都商城网站建设

商城网站建设费用8000元

商城网站建设因基本功能的需求不同费用上面也有很大的差别...

成都微信网站建设

手机微信网站建站3000元

手机微信网站开发、微信官网、微信商城网站...

建站知识

当前位置:首页 > 建站知识

易优cms后台漏洞 易优cms二次开发

易优cms缺点

现在当下做个网站,比如说和公众号搭配使用,或者微信端使用是很常见的。如果你是从来不用在微信,不会在微信做任何登录使用或者交易,用易优是可以的。

让客户满意是我们工作的目标,不断超越客户的期望值来自于我们对这个行业的热爱。我们立志把好的技术通过有效、简单的方式提供给客户,将通过不懈努力成为客户在信息化领域值得信任、有价值的长期合作伙伴,公司提供的服务项目有:空间域名、网站空间、营销软件、网站建设、从化网站维护、网站推广。

我个人觉得,微信里面打开网页应该是不可避免的。

客观说,易优cms最大缺点就是, 微站站点缺点漏洞 有点多,

第一个缺点,也是漏洞,微站已经后台关闭,点击登录或者个人中心,依然会跳出微站点登录页面。

第二个缺点,更是要命,易优一个卖点不是就是商城、和支付功能吗?在非微信端可以使用,一旦在微信端使用各种支付问题限制一个又一个,支付功能几乎就是瘫痪,

易优的特色商城支付功能,微信端支付卡主就不动了。

比如支付的时候,支付限制提示【手机端微信使用本站账号登录仅可余额支付】

再比如连余额充值的时候【手机端微信使用本站账号登录仅可余额支付】这样限制有点不应该。

再比如,我在浏览器端注册的账号,关闭微站,微信端用账号密码登录,支付订单提示【已在手机端浏览器生成订单,请到手机浏览器完成支付】

这样限制有点恶劣。

第三个缺点,也算是漏洞,微站点打开以后,非微信端注册的账号,没有绑定微站微信登录入口

第四个缺点,有的时候明明刚刚登录账号了,切换一个可能就有退出登录的情况。

第五个缺点,一般问问题,不管是群里面还是易优问答论坛,有点拉胯。

总结一下,微站站点就是一个拖累,没有微站拖累可能还不至于如此尴尬。也就是说有微站点导致了微信端用起来死难受,你要关闭微站点吗?还是一堆限制,做出这拖后腿,没有优化好的微站点就是吃力不讨好,还不如直接了当,直接把微站点彻底删除,或者想办法优化一下。

既然做了微站点,就应该是手机浏览器,微信端,电脑端都要可以使用,易优cms因为微站影响了手机端使用,实在应该优化一下。

说完这些缺点,在说说优点,总体来说后台操作比较简洁易操作。还有购买授权域名是永久授权,更新升级是免费的。

希望改进优化,发展越来越好

【墨者学院】:CMS系统漏洞分析溯源(第2题)

背景介绍

某单位需新上线了一个系统,安全工程师“墨者”负责对系统的安全检测,确保该系统在上线后不存在安全漏洞。

实训目标

1、了解并熟练使用linux命令;

2、了解PHPCMS的后台地址及其他相关漏洞资料;

3、了解html源码的重要性。

解题方向

登录后台后执行linux系统命令,查看web源码。

靶场环境:可以看到使用了phpcms9.1.13版本的内容管理系统。

在网上可以找到,默认的后台登录地址为/admin.php,其实在robots.txt文件中也能够看到,应该养成查看robots.txt文件的习惯,里面还是有一些有用的信息的。

打开admin.php链接,发现用户和密码都是已经默认填好的,所以直接登录到后台管理里面去。

在网上看到有三种方法:第一种,使用拓展里面的木马查杀进行key文件的查找,但是我没有查到;第二种是利用远程命令执行的方法来进行目录的查看;第三种是在界面的模板里面写入一句话,再getshell。

第一种:phpcms后台低权限任意命令执行。

这个漏洞是在乌云中发布出来的,编号为WooYun-2015-0153630,具体的漏洞分析见: 。

利用的POC是:index.php?0=[命令]m=contentc=contenta=public_categorystype=addmenuid=822;${system($_GET[0])}pc_hash=vad6K3from=block

先ls查看目录,再查看key.txt文件即可。

第二种:一句话木马写入。

上面的方法只是查看目录文件,并没有拿到网站的权限。写入一句话,再用蚁剑来进行连接,然后拿权限,这种方法才是比较通用的。

在界面中的index.html文件中写入一句话,然后按index.php?m=search连接。虽然网上都可,但是不知道为啥我的蚁剑返回数据为空,失败……

1.phpcms的这个后台低权限命令执行漏洞,不太清楚具体适用于哪些版本,可以先记着,这个一个渗透点。

2.一般进入了cms后台管理,通用的方法就是找模板,写入一句话,连接,上传大马。

版主必看是不是phpcms漏洞后台左侧所有功能命令不显示

不是phpcms的马脚,以前我碰到过,有时刻是网速问题,有时刻是浏览器问题,跟phpcms没紧要。不过pc后台搞这个花哨而无用的功能,真没须要,严重影响操作速度。


当前标题:易优cms后台漏洞 易优cms二次开发
分享链接:http://bjjierui.cn/article/doisdec.html

其他资讯