之前做一个站要用到 DeDeCms,蛋疼的是鸡巴一堆广告,草!!!!!

连后台登陆页面、后台主页,他妈的都有,我勒个去……

果断清理了,要修改的文件如下:


DedeCMS-V5.7-GBK 去广告,UTF-8 版基本相同:

后台登陆页面:

dede/templets/login.htm

dede/templets/login_ad.htm

dede/css/login.css

后台管理主页:

dede/templets/index_body.html

页脚页面、底部模板:

templets/default/footer.htm

首页友情链接:

templets/default/index.htm

替换“{dede:flinktype type="dedecms"}”为“{dede:flinktype type=""}”

后台功能:

1、友情链接功能中,清理若干友情链接。

2、广告管理功能中,清理若干广告,日后清理对应广告代码。

问答模块版权:

ask\templates\default\footer.htm


更恶心的是,他妈的后台登陆页面,和后台的主页,居然他妈的直接调用远程 Js,卧槽……

这啥意思?

意思就是在织梦服务器,可以给你推送任意恶意代码,直接在后台执行,我勒个去……

无论你后台地址改成什么,人家都可以取到真实路径,无论你密码修改成什么,人家都可以取到你登陆 Cookie,毫无障碍的进入后台,任人鱼肉……

更蛋疼的是,如果配合 Ajax,直接就可以写 Shell 了,我擦……

即使织梦官方不这么干,也不排除织梦服务器被黑,被非法控制,推送恶意代码……

目测织梦安全做的很烂,N个人日过,而且前段时间,官方提供下载的CMS程序,还被插入后门代码,无语了……

相关内容:

Dedecms 疑似被植入后门,织梦 v5.7 或有后门存在!

DedeCMS 官方版本惊曝后门 360 紧急安全检测

dedecms 5.7 一句话后门利用 exp

留言评论(旧系统):

【匿名者】 @ 2012-04-07 11:46:57

方便打补丁吧

本站回复:

不是打补丁,打补丁另有在线更新的php脚本,这个调用远程js,完全是为了显示广告!

【匿名者】 @ 2012-04-08 17:21:02

dedecms 做的是不好 但是有什么能替代的呢 核总推荐一个cms 吧

本站回复:

剔除广告,修改修改,还是蛮好用的。