之前做一个站要用到 DeDeCms,蛋疼的是鸡巴一堆广告,草!!!!!
连后台登陆页面、后台主页,他妈的都有,我勒个去……
果断清理了,要修改的文件如下:
DedeCMS-V5.7-GBK 去广告,UTF-8 版基本相同:
后台登陆页面:
dede/templets/login.htm
dede/templets/login_ad.htm
dede/css/login.css
后台管理主页:
dede/templets/index_body.html
页脚页面、底部模板:
templets/default/footer.htm
首页友情链接:
templets/default/index.htm
替换“{dede:flinktype type="dedecms"}”为“{dede:flinktype type=""}”
后台功能:
1、友情链接功能中,清理若干友情链接。
2、广告管理功能中,清理若干广告,日后清理对应广告代码。
问答模块版权:
ask\templates\default\footer.htm
更恶心的是,他妈的后台登陆页面,和后台的主页,居然他妈的直接调用远程 Js,卧槽……
这啥意思?
意思就是在织梦服务器,可以给你推送任意恶意代码,直接在后台执行,我勒个去……
无论你后台地址改成什么,人家都可以取到真实路径,无论你密码修改成什么,人家都可以取到你登陆 Cookie,毫无障碍的进入后台,任人鱼肉……
更蛋疼的是,如果配合 Ajax,直接就可以写 Shell 了,我擦……
即使织梦官方不这么干,也不排除织梦服务器被黑,被非法控制,推送恶意代码……
目测织梦安全做的很烂,N个人日过,而且前段时间,官方提供下载的CMS程序,还被插入后门代码,无语了……
相关内容:
Dedecms 疑似被植入后门,织梦 v5.7 或有后门存在!
留言评论(旧系统):