谣言害死人，给帝国cms正名，哪里有漏洞了？

ahost

看这帖子，竟然多人认为帝国漏洞多？还设置了推荐！
https://fd.vvwvv.eu.org/thread-678521-1-1.html

我有理有据，还被贴标签成了 抬杠！良心产品被人这么玷污实在于心不忍！

最近10年，有爆过一个漏洞吗？

show your code!

W4ter

"最近10年，有爆过一个漏洞吗？"
首先，这个说法就可以给你反驳一下

只是说没有脚本小子喜欢的一键日穿漏洞，但是CSRF配合打后台，后台Getshell也算得上是很严重的了。

再一个，DEDECMS漏洞确实多，但玩来玩去都是几个RCE和还是二次开发产生的问题，比较严重。

从几年从业经验来看 帝国CMS确实比DEDECMS安全系数高
但是会审计的可以自己去看一下帝国代码写得跟*一样，各种潜在问题，即使是最新的7.5也有前台XSS，大问题没有，小问题不断。

至于怎么选择，当然是自己造轮子啊。

豆浆

说帝国漏洞多的估计都是DEDECMS的用户

DROP

不存在没漏洞的东西，没被黑只是说明你还没那个价值

额头有王的喵

楼主这牛吹的，谁敢说自己代码没漏洞？

012

推荐可不是设置的哦，是支持点上去的。另外我这辈子没见过也不相信任何一份代码没有漏洞。

W4ter

yuewolf 发表于 2020-4-22 21:40
XSS那个条件得有多苛刻？

1，你得诱发网站管理员点未加载图片，能做到这一步，Oday网页木马或者其他攻击 ...

一群云玩家？
说自己用帝国没被黑过的是你的站根本没有价值搞。
去乌云镜像和补天搜一搜，多少是从一个XSS低微到内网漫游，我承认玩XSS肯定是有运气成分在里面。

为什么要知道后台地址，改了后台又怎么样，推荐你去看《XSS跨站脚本攻击剖析与防御》一个XSS能做多少事，你连最基本的XSS打后台都不会还好意思在这普及XSS？
有多少人上LOC每次退出前都是点击注销而不是直接关掉游览器？

别的不说，我就问你 你自己玩过XSS吗？

W4ter

ahost 发表于 2020-4-22 16:27
只看了csdn的链接，你是不是想笑掉我的大牙！！！用管理员账户黑自己！！ ...

你是不是语文没学好？CSDN那写得清清楚楚，后台命令执行。
用第一个前台XSS打后台管理员cookies，然后用后台RCE直接Getshell。
你好歹也是个金牌会员，怎么搞个跟小学生一样？

也对，对于"某些"脚本小子来说，只要不是一步到位的，就不算漏洞

W4ter

ahost 发表于 2020-4-22 16:13
张口就来，你倒是说说哪里有前台xss啊？

张口就来，你不会百度吗？一搜一大堆
https://www.freebuf.com/vuls/177969.html
https://blog.csdn.net/ws13129/article/details/90071260
我就怕你看不懂？
你在别的地方可以抬杠，你别在这班门弄斧
人家都在看笑话只是懒得喷你
多读点书吧，好好学习，争取早日成为祖国的栋梁之才，写出没有漏洞的代码，造福人民。

maintell

呵呵，这牛是不是吹的有点过分了

baidu

10年都一个漏洞都没有吗

chitycheng

这么牛逼啊，利害，利害，

bitfmz

我用了 7 8年了，一直帝国，从来没被黑过，后台默认地址都不修改

bitfmz

之前乌云没被关的时候，有人提交帝国的漏洞的，然后帝国直接回复：忽略，不构成威胁，然后这个漏洞就被公开了，帝国也没出补丁，也没出现帝国因为这个漏洞被黑的案例

yuewolf

没几个人说漏洞多，我看回帖就那一两个吧，云用户，张嘴就来，比放屁还容易。那么多年没打安全补丁了，有漏洞?拿出来试试，高价收!

bitfmz

说有漏洞的估计分不清 织梦和帝国  织梦那个垃圾 漏洞是真的多

tboy

bitfmz 发表于 2020-4-22 13:28
之前乌云没被关的时候，有人提交帝国的漏洞的，然后帝国直接回复：忽略，不构成威胁，然后这个漏洞就被公开 ...

那个是有管理员账号登陆后的getshell  所以无视