POST TIME:2020-03-31 15:15
dedecms又發(fā)現(xiàn)一個(gè)安全隱患,大家要注意模板里調(diào)用的標(biāo)簽。
近期在vps檢查各個(gè)站點(diǎn)的時(shí)候,打開一張圖片卻無法預(yù)覽,本以為是壞掉的,準(zhǔn)備就此刪掉呢,閑的蛋疼用編輯器打開,不打開還好點(diǎn),一打開嚇了哥一跳,里面竟然是幾行代碼。。。如下代碼既是:
<a href="http://www.xuejiqiao.com/" class="hapz" data_ue_src="http://www.xuejiqiao.com/">Booklet Printing</a><div type="text/css" _ue_div_style="1" _ue_org_tagname="style" _ue_style_data="%0Aa.hapz%20%7Bposition%3Aabsolute%3Bleft%3A-1200px%3B%7D%0A" _ue_custom_node_="1"></div>不過里面的網(wǎng)址改為本站的了。
而且在首頁(yè)模板里有一個(gè)調(diào)用的標(biāo)簽
{dede:include filename="tapz.gif"/}這要是猛的一看的話以為是網(wǎng)站調(diào)用的圖片呢。但是網(wǎng)站一更新的話,在查看源代碼里會(huì)發(fā)現(xiàn)有站外鏈接,在站長(zhǎng)工具里查看反鏈也會(huì)發(fā)現(xiàn)。這是又一個(gè)加黑鏈的好方法啊。
不過我發(fā)現(xiàn)了怎么修改gif圖片里,但是圖片又預(yù)覽不了的方法.
首先就是本地創(chuàng)建個(gè)txt文本,把所需要的代碼寫入txt文檔,完畢后修改txt格式為gif的或者jpg。你在預(yù)覽下圖片是預(yù)覽不了的,但是用代碼編輯器,打開后就會(huì)發(fā)現(xiàn)里面是剛才寫的代碼,而且代碼還沒有亂碼。其實(shí)一點(diǎn)也神奇,在it行業(yè)的,懂點(diǎn)計(jì)算機(jī)的,都知道這回事,但是我們從來沒有把這些小知識(shí)用到工作生活里,所以當(dāng)別人用的時(shí)候大吃一驚。才感悟到原來是這么一回事。
但是,回到安全話題上,別人怎么可能把代碼寫入到你的模板里呢,最好才看到,這個(gè)新站的后臺(tái)登錄路徑?jīng)]有修改,而且?guī)ぬ?hào)和密碼都是默認(rèn)的。
有時(shí)候發(fā)現(xiàn)網(wǎng)站被掛黑鏈了,但是又不知道代碼在哪,我們的第一反應(yīng)就是js,或者php或者asp,看看有沒有此類的,但是忽略了,我們常用的調(diào)用標(biāo)簽。
小編語(yǔ):細(xì)節(jié)決定成??!