织梦网站内容管理系统漏洞

发布时间：2014-03-21 点击数：3630

   作为国内知名的网站内容管理系统，自去年底曝出重定向漏洞以来，仅事隔三个月，2014年2月底再次曝出SQL的注入漏洞，黑客利用该漏洞可以获得管理员密码，登陆网站内容管理系统的后台，随意添加删除发布文章等操作了。后果不堪设想。

   什么是内容管理系统？就是管理网站内容的平台，登陆后台可以轻松管理网站文章的添加、删除、发布等操作。而国内知名的织梦CMS(dedecms)以其开源免费、功能强大而为大家所需要。虽然dedecms有众多好处，但就我们新一站网络科技看来还是有其明显的缺点的。

   1、为了可以满足各种网站类型的需要，所以该系统做得很庞大，数据库里有几百个表，安装好后要占用几十M空间，如果我们只是建一个企业网站的话，很多功能使用不上来。

   2、因为开源，所以很多黑客研究找出漏洞

  3、虽然开源，但系统做得还是较复杂，给二次开发增加难度。

广州新一站网络CMS的优势：

   我们新一站的CMS，虽然不能跟DEDECMS这样一个功能强大的系统相比，但我们也在不断改进，主要是以客户需求为导向，还是以功能实用为原则，为客户省去学习管理平台的时间以及严密的安全系统，可以快速对源码修改等。

附dedecms的重大漏洞事件

2014-02-28DedeCMS 5.7 /plus/recommend.php SQL注入漏洞
2013-12-18DedeCMS 5.7SP1 /plus/download.php URL重定向漏洞
2013-12-13DedeCms 5.7友情链接模块注入漏洞
2013-09-26织梦内容管理系统(DedeCms) 小说模块insert注入漏洞
2013-06-07dedecms 修改任意管理员漏洞
2013-04-28DedeCMS 5.7 config.php 跨站脚本漏洞
2013-03-29DedeCms 5.x 本地文件包含漏洞(respond方法)
2013-03-20DedeCMS 5.7 后门漏洞
2012-11-05Dedecms v5.7 plus\feedback.php SQL注入漏洞
2012-05-29织梦(dedecms) 5.7 /plus/car.php sql注入0day
2012-04-29DEDECMS 5.7之前版本远程SQL注入漏洞
2012-03-21织梦(DedeCMS)后门远程代码执行漏洞
2011-12-30dedecms(织梦) < 5.7 多个SQL注入漏洞
2011-12-30Dede(织梦) CMS SQL Injection Vulnerability
2011-10-14DEDECMS 全版本 gotopage变量XSS漏洞
2011-09-23DeDeCMS(织梦)变量覆盖0day getshell
2011-08-11dedecms织梦 标签远程文件写入漏洞
2011-08-11织梦(DedeCms) v5.6-5.7 越权访问漏洞(直接进入后台)
2011-03-02DedeCms v5.6 嵌入恶意代码执行漏洞
2010-08-18Dedecms <= V5.6 Final模板执行漏洞
2010-08-18DEDECMS网站管理系统Get Shell漏洞
2010-06-30织梦(Dedecms)V5.6 远程文件删除漏洞
2010-06-20织梦(Dedecms) V5.6 plus/carbuyaction.php 本地文件包含漏洞
2010-06-15DedeCms V5.6 plus/advancedsearch.php 任意sql语句执行漏洞
2010-04-28dedecms织梦 v5.6 两处跨站漏洞
2010-04-03dedecms v5.5 final getwebshell exploit(datalistcp.class.php)
2010-02-06dedecms织梦 v5.5 两处跨站漏洞
2009-12-31织梦(DEDE)CMS V5.3 覆盖任意变量导致远程包含漏洞
2009-10-28织梦(Dedecms) 5.1 feedback_js.php 注入漏洞
2009-10-20织梦(Dedecms)select_soft_post.php页面变量未初始漏洞

文章精彩就分享给你的朋友们：