织梦DedeCMS的好处什么的就不说了,今天主要讲一下织梦默认的设置里面一些可能会暴露网站模板路径的安全隐患。有人会说织梦模板的路径暴露了有什么的,当然这个路径是非常重要的了,如果你的系统未进行一些相关的设置,在知道你的织梦网站模板路径的情况下,是可以直接下载你的网站模板的。因为织梦的模板文件是.htm结尾的文件,直接在浏览器中输入模板文件的地址,就会看到模板的内容了。
当然,出现这样的情况主要还是大家的安全意识不大强,任何以.htm或者.html为后缀的网站模板都是可以直接下载的。要避免这种情况出现,只需要进行一些简单的模板防盗的措施就可以了。在织梦DedeCMS模板防盗的四种方法一文就有详细的讲解,有兴趣的朋友可以去看一下。今天主要跟大家分享一个DEDECMS默认友情链接等页面可能暴露网站模板路径的安全隐患。
接触过织梦DedeCMS的朋友都知道,友情链接路径是plus/flink.php以及申请链接路径地址是plus/flink_add.php,相信很多站长没有注意到,这些看似正常的链接路径,却存在一个极其问题,那就是模版路径被知晓。当然,plus下面的诸如search.php都同样有暴露网站模板路径的风险的。
首先,我们先在本地测试揭晓存在的问题。以下是默认的织梦首页的添加友情链接页面截图:
我们点击所有链接,打开了申请友情链接页面:
上图中地址栏的地址即是点击所有链接的相对应地址了,那么我们复制图中的logo图片地址。
上图中就是logo图片的地址了,那么我们把images/logo.gif 替换成index.htm,就可以看到如下图所示的界面了。
大家看到了什么,这个就是默认的首页模板呀。如果你的其他的模板文件也是根据织梦的默认的文件来命名的,那就可以继续通过article_article.htm访问文章页面的模板。虽然织梦仿站不是一件太困难的事情,但是总比这样直接就把你的模板下载下来要耗费更多的时间吧。如果这个人是你的竞争对手,把你的网站模板到处散发,然后就有无数个和你网站一模一样的网站了。
如何处理织梦DedeCMS默认友情链接等页面的安全隐患这样的问题呢?觉得,一方面是做减法,凡是自己网站用不到的功能文件,统统删除掉;二是注意不要把图片、css、js等文件放在模板目录中。当然,还需要加强织梦系统本身的安全,做好一些安全设置等。