織夢網站漏洞層出不窮,織夢核心目錄include是關鍵�����,經常被人訪問,當反面教材拿來練手��,所以我們要把驗證碼搬出include目錄����,織夢驗證碼搬家,如果網站不使用驗證碼的�,可以將include文件夾改名�。
被別人拿來練手�,可能也許你不會信,但是看看你的網站日志你就會知道��,有多少無聊的人在訪問你的include目錄�。
把織夢驗證碼遷移出include目錄
第一步,新建驗證碼文件夾
1���、根目錄,先新建一個文件夾comm(這個是驗證碼的文件夾)
2�、然后把include目錄下的vdimgck.php剪切�,粘貼到comm文件夾內
3�、打開vdimgck.php 找到下面代碼 在打開的第一行
require_once (dirname(__FILE__).'/common.inc.php');
改為
require_once(dirname(__FILE__).'/../include/common.inc.php');
溫馨提醒:其中include目錄如果改名的話就按照改名的寫
這個只是把驗證碼搬出include目錄,且include目錄并沒有改名
繼續找到
'font_file' => dirname(__FILE__).'/data/fonts/'.mt_rand(1,3).'.ttf','wordlist_file' => dirname(__FILE__).'/data/words/words.txt', |
改為
'font_file' => dirname(__FILE__).'/../include/data/fonts/'.mt_rand(1,3).'.ttf','wordlist_file' => dirname(__FILE__).'/../include/data/words/words.txt', |
繼續找到
$im = @imagecreatefromjpeg(dirname(__FILE__).'/data/vdcode.jpg'); |
改為
$im = @imagecreatefromjpeg(dirname(__FILE__).'/../include/data/vdcode.jpg'); |
這樣就完成了把驗證碼遷移出include目錄����,放到comm目錄內
第二步�����、前端調用改一下 找到驗證碼
<img id="vdimgck" class="yanzma1" align="absmiddle" onClick="this.src=this.src+'?'" style="cursor: pointer;" alt="驗證碼" src="{dede:global.cfg_cmspath/}/include/vdimgck.php"> |
也許你們的和我的不一樣,但是這個/include/vdimgck.php點擊換驗證碼肯定一樣吧
{dede:global.cfg_cmspath/}/include/vdimgck.php |
改為
{dede:global.cfg_basehost/}/comm/vdimgck.php |
一般出現驗證碼的文件夾有
最多的是會員目錄member�����,還有后臺目錄和templets模板目錄�����,把php和js還有htm都拖到notepad++查找vdimgck.php就會都出來了
第三步、打開后臺目錄
1、打開dede/templets/sys_data_replace.htm
查找vdimgck.php 找到<img src='../images/vdimgck.php' />
<img src='../comm/vdimgck.php' />
2�、打開dede/templets/login.htm
查找include/vdimgck.php
有三處��,自己改下,后臺登錄模板的
第四步、檢查調用標簽問題
驗證碼遷移出目錄后需要注意的調用標簽問題��,如果目錄名稱改了����,還要檢查一下調用標簽。
如果不注意調用標簽,調用標簽出賣了目錄名稱�����,只能說你改名也是徒勞的
{dede:global.cfg_cmspath/}模板安裝目錄
{dede:global.cfg_memberurl/}這個是會員
{dede:global.cfg_cmsurl/}暴露當前目錄�,一般多數會暴露plus,其他的也有
{dede:global.cfg_templets_skin/}暴露網站模板default目錄
把這標簽統統換掉,替換成以下標簽
注意加一根斜線{dede:global.cfg_cmsurl/}/是根目錄
{dede:global.cfg_cmsurl/} 鏈接形式是http://www.CUOxin.com
{dede:global.cfg_cmsurl/}/ 鏈接形式是http://www.CUOxin.com
如果是arclist里面加上絕對路徑,調用標簽是
[field:global.cfg_basehost/]
還有一個就是織夢網站有個調用js閱讀數的標簽�����,只要是網站標簽調用���,路徑出現include目錄的都需要改調用標簽�����。
溫馨提醒:放驗證碼的目錄一定要允許運行php文件
比如comm目錄 允許執行php文件
對于織夢網站的安全����,必須把include目錄改名��,plus目錄改名,data目錄改名��。后面會添加目錄改名教程�����,搜索相應的目錄名稱即可�����。
