谣言害死人，给帝国cms正名，哪里有漏洞了？

ahost · 发表于 2020-4-22 13:23:20

看这帖子，竟然多人认为帝国漏洞多？还设置了推荐！
https://fd.vvwvv.eu.org/thread-678521-1-1.html

我有理有据，还被贴标签成了抬杠！良心产品被人这么玷污实在于心不忍！

最近10年，有爆过一个漏洞吗？

show your code!

W4ter · 发表于 2020-4-22 15:49:24

"最近10年，有爆过一个漏洞吗？"
首先，这个说法就可以给你反驳一下

只是说没有脚本小子喜欢的一键日穿漏洞，但是CSRF配合打后台，后台Getshell也算得上是很严重的了。

再一个，DEDECMS漏洞确实多，但玩来玩去都是几个RCE和还是二次开发产生的问题，比较严重。

从几年从业经验来看帝国CMS确实比DEDECMS安全系数高
但是会审计的可以自己去看一下帝国代码写得跟*一样，各种潜在问题，即使是最新的7.5也有前台XSS，大问题没有，小问题不断。

至于怎么选择，当然是自己造轮子啊。

豆浆 · 发表于 2020-4-22 13:40:13

说帝国漏洞多的估计都是DEDECMS的用户

DROP · 发表于 2020-4-22 14:48:24

不存在没漏洞的东西，没被黑只是说明你还没那个价值

额头有王的喵 · 发表于 2020-4-22 14:02:35

楼主这牛吹的，谁敢说自己代码没漏洞？

012 · 发表于 2020-4-22 13:26:39

推荐可不是设置的哦，是支持点上去的。另外我这辈子没见过也不相信任何一份代码没有漏洞。

W4ter · 发表于 2020-4-22 22:38:06

yuewolf 发表于 2020-4-22 21:40
XSS那个条件得有多苛刻？

1，你得诱发网站管理员点未加载图片，能做到这一步，Oday网页木马或者其他攻击 ...

一群云玩家？
说自己用帝国没被黑过的是你的站根本没有价值搞。
去乌云镜像和补天搜一搜，多少是从一个XSS低微到内网漫游，我承认玩XSS肯定是有运气成分在里面。

为什么要知道后台地址，改了后台又怎么样，推荐你去看《XSS跨站脚本攻击剖析与防御》一个XSS能做多少事，你连最基本的XSS打后台都不会还好意思在这普及XSS？
有多少人上LOC每次退出前都是点击注销而不是直接关掉游览器？

别的不说，我就问你你自己玩过XSS吗？

W4ter · 发表于 2020-4-22 20:34:12

ahost 发表于 2020-4-22 16:27
只看了csdn的链接，你是不是想笑掉我的大牙！！！用管理员账户黑自己！！ ...

你是不是语文没学好？CSDN那写得清清楚楚，后台命令执行。
用第一个前台XSS打后台管理员cookies，然后用后台RCE直接Getshell。
你好歹也是个金牌会员，怎么搞个跟小学生一样？

也对，对于"某些"脚本小子来说，只要不是一步到位的，就不算漏洞

W4ter · 发表于 2020-4-22 16:21:29

ahost 发表于 2020-4-22 16:13
张口就来，你倒是说说哪里有前台xss啊？

张口就来，你不会百度吗？一搜一大堆
https://www.freebuf.com/vuls/177969.html
https://blog.csdn.net/ws13129/article/details/90071260
我就怕你看不懂？
你在别的地方可以抬杠，你别在这班门弄斧
人家都在看笑话只是懒得喷你
多读点书吧，好好学习，争取早日成为祖国的栋梁之才，写出没有漏洞的代码，造福人民。

maintell · 发表于 2020-4-22 14:50:53

呵呵，这牛是不是吹的有点过分了

头像一条狗 · 发表于 2020-4-22 14:20:28

提示: 作者被禁止或删除内容自动屏蔽

W4ter · 发表于 2020-4-23 19:44:35

jekyll 发表于 2020-4-23 11:54
傻狗，我是用PHP生成的html，当然模板算是半个html吧。
我静静的写html去了，不耽误大佬XSS。 ...

大佬你就放在本地生成吧，把站建在本地，自己欣赏一下自己写的代码，这样最安全，毕竟很多人都盯着你的站呢。
您就是世界顶级的拍黄片开发，就不耽误大佬拍黄片了。

.host. · 发表于 2020-4-23 12:50:25

qqu 发表于 2020-4-23 11:57
有几个小漏洞也是无碍大事一个是留言板吧一般都不开这个影响不了啥

被黑的一般都是服务器安全问题吧

一起来捉大大大佬啦

wangjianjilei · 发表于 2020-4-23 12:01:45

qqu 发表于 2020-4-23 11:57
有几个小漏洞也是无碍大事一个是留言板吧一般都不开这个影响不了啥

被黑的一般都是服务器安全问题吧

大佬带我发财！

wangjianjilei · 发表于 2020-4-23 11:58:35

帝国漏洞比dede少

qqu · 发表于 2020-4-23 11:57:09

本帖最后由 qqu 于 2020-4-23 12:01 编辑

有几个小漏洞也是无碍大事一个是留言板吧一般都不开这个影响不了啥

被黑的一般都是服务器安全问题吧

用帝国cms 做的站赚了上百万我有说过什么吗

刚开始我是用dz-ss-帝国cms

10年开始一直都是帝国cms

还是免费的。

QQ截图20200423120134.jpg (9.44 KB, 下载次数: 0)

jekyll · 发表于 2020-4-23 11:54:09

W4ter 发表于 2020-4-22 22:38
一群云玩家？
说自己用帝国没被黑过的是你的站根本没有价值搞。
去乌云镜像和补天搜一搜，多少是从一个XS ...

傻狗，我是用PHP生成的html，当然模板算是半个html吧。
我静静的写html去了，不耽误大佬XSS。

jekyll · 发表于 2020-4-23 01:11:31

W4ter 发表于 2020-4-22 22:38
一群云玩家？
说自己用帝国没被黑过的是你的站根本没有价值搞。
去乌云镜像和补天搜一搜，多少是从一个XS ...

大佬给小白们科普一下金刚模式和刺猬模式能不能防？关闭前台动态功能能不能防？我好怕被黑啊，已经把所有php删了，现在是用ftp远程生成的html。

saas · 发表于 2020-4-22 23:03:03

本帖最后由 saas 于 2020-4-22 23:12 编辑

百度的每个cms都有漏洞，看看就好了，如果说ecms漏洞多那其他的dedecms dz wp更不安全，相对来说帝国是比其他几个安全性方面做得最好的了，如果这个达不成共识就没必要讨论下去了，一般来说用ecms wp dz只要不是太懒，该做的防护做好基本没什么大问题

		自动登录	找回密码
密码			注册

头像一条狗头像一条狗当前离线积分 1206	推荐发表于 2020-4-22 14:20:28 来自手机 \| 只看该作者提示: 作者被禁止或删除内容自动屏蔽
头像一条狗头像一条狗当前离线积分 1206
	回复支持 1 反对 0 举报

谣言害死人，给帝国cms正名，哪里有漏洞了？

点评

浏览过的版块