重庆分公司,新征程启航

为企业提供网站建设、域名注册、服务器等服务

帝国cms垃圾 帝国cms使用手册

帝国网站管理系统经常被攻击怎么回事

帝国EmpireCMS7.5最新后台漏洞审计

成都创新互联公司专注于襄阳企业网站建设,响应式网站,商城建设。襄阳网站建设公司,为襄阳等地区提供建站服务。全流程按需开发网站,专业设计,全程项目跟踪,成都创新互联公司专业和态度为您提供的服务

1概述

最近在做审计和WAF规则的编写,在CNVD和CNNVD等漏洞平台寻找各类CMS漏洞研究编写规则时顺便抽空对国内一些小的CMS进行了审计,另外也由于代码审计接触时间不是太常,最近一段时间也跟着公司审计项目再次重新的学习代码审计知识,对于入行已久的各位审计大佬来说,自己算是新手了。对于审计也正在不断的学习和积累中。于是抽空在CNVD上选取了一个国内小型CMS进行审计,此次审计的CMS为EmpireCMS_V7.5版本。从官方下载EmpireCMS_V7.5后进行审计,审计过程中主要发现有三处漏洞(应该还有其他漏洞暂未审计):配置文件写入、后台代码执行及后台getshell,造成这几处漏洞的原因几乎是由于对输入输出参数未作过滤和验证所导致。

2前言

帝国网站管理英文译为”EmpireCMS”,它是基于B/S结构,安全、稳定、强大、灵活的网站管理系统.帝国CMS 7.5采用了系统模型功能:用户通过此功能可直接在后台扩展与实现各种系统,如产品、房产、供求…等等系统,因此特性,帝国CMS系统又被誉为“万能建站工具”;大容量数据结构设计;高安全严谨设计;采用了模板分离功能:把内容与界面完全分离,灵活的标签+用户自定义标签,使之能实现各式各样的网站页面与风格;栏目无限级分类;前台全部静态:可承受强大的访问量;强大的信息采集功能;超强广告管理功能……

3代码审计部分

拿到该CMS后先把握大局按照往常一样先熟悉该CMS网站基本结构、入口文件、配置文件及过滤,常见的审计方法一般是:通读全文发(针对一些小型CMS)、敏感函数回溯法以及定向功能分析法,自己平常做审计过程中这几个方法用的也比较多。在把握其大局熟悉结构后,再通过本地安装去了解该CMS的一些逻辑业务功能并结合黑盒进行审计,有时候黑盒测试会做到事半功倍。

常见的漏洞个人总结有:

1)程序初始化安装

2)站点信息泄漏

3)文件上传

4)文件管理

5)登陆认证

6)数据库备份

7)找回密码

8)验证码

若各位大佬在审计过程中还有发现其他漏洞可补充交流。

帝国cms现在还有人用吗

帝国cms现在还有人用。

最新版的帝国cms7.5正式版 是2018年发布的,虽然这三四年没有更新过,不过好在7.5版本的帝国cms支持php7+版本。

帝国CMS是将网站内容全部生成静态HTML文件,这样可以极大地节约主机资源,提高系统性能,全静态处理技术是做为构建大型站点的必要条件。无论是再强大的CPU,再高明的数据库,在大量用户访问的情况下也会宕机的,而使用我们的程序会避免此类问题发生。

关于帝国CMS网站管理系统的问题。

帝国cms管理系统是开源免费的,空间 一般100m 或者50m 就可以了吧,它整体很小其实,功能很全,包括 新闻发布,图片 , 下载,电影,商城,会员,空间等 很全面,如果你需要的话 可以添加广告,有广告管理,网站自带防火墙,你安装好以后可以进行详细设置,所以不用担心垃圾广告会植入,对于安装,你百度一下有很多,其实安装也简单,直接下一步就行,但是要填写正确数据库的相关信息,要不然不能安装 还有什么问题 QQ:330576380


文章名称:帝国cms垃圾 帝国cms使用手册
网站路径:http://cqcxhl.com/article/ddsgjgg.html

其他资讯

在线咨询
服务热线
服务热线:028-86922220
TOP