上官雨宝
2
CISM-WSE
中级信息安全等级测评师
官方采纳
上官雨宝2
CISM-WSE
中级信息安全等级测评师
CMS种类繁多,程序员水平不一导致CMS漏洞一度成为Web渗透的重灾区,如常见的WordPress、DedeCMS、Drupal等都爆出过众多安全问题,如任意代码执行、反序列化、SQL注入等,为恶意攻击者提供了可乘之机。
WordPress CMS漏洞
WordPress是使用PHP语言开发的博客平台,用户可以在支持PHP和MySQL数据库的服务器上架设属于自己的网站,也可以把WordPress当作一个内容管理系统(CMS)来使用。WordPress有许多第三方开发的免费模板,简单易用。WordPress官方支持中文版,同时有爱好者开发的第三方中文语言包,如wopus中文语言包。WordPress拥有成千上万个插件和不计其数的主题模板样式。正是因为这些原因促使WordPress成为了一个全球著名的CMS平台,同时也被各路攻击者紧盯不放。在全球知名漏洞军火商Zerodium的收购列表中WordPressRCE(远程代码执行)漏洞价值10万美元。甚至有黑客团队专门研发了针对WordPress的漏洞扫描器WPScan。WordPress的漏洞一般分为CMS本身漏洞和插件漏洞。
DedeCMS漏洞
织梦内容管理系统,是国内最知名的PHP开源网站管理系统,以简单、实用和开源而闻名,是使用用户最多的PHP类CMS系统。织梦基于PHP+MySQL技术架构,经过多年的发展,在功能和易用性方面,取得了长足发展,适用于个人网站或中小型门户网站的构建,官网地址为
http://www.dedecms.com。因为漏洞多且典型,很多版本的织梦CMS已经被作为靶机来进行练习和作为攻击工具来使用了。Drupal漏洞
Drupal是使用PHP语言编写的开源内容管理框架(CMF),且经常被爆出代码远程执行漏洞所以危害较大,它由内容管理系统(CMS)和PHP开发框架(Framework)共同构成,能支持从个人博客到大型社区驱动的网站等各种不同应用的网站项目,官网地址为
https://www.drupal.org。
007bug
2
安全集成(专业级)SP/PL
CICSA
官方采纳
007bug2
安全集成(专业级)SP/PL
CICSA
常见的CMS漏洞有以下类型:
WordPress CMS漏洞:WordPress是使用PHP语言开发的博客平台,用户可以在支持PHP和MySQL数据库的服务器上架设属于自己的网站,也可以把WordPress当作一个内容管理系统(CMS)来使用。WordPress有许多第三方开发的免费模板,简单易用。WordPress官方支持中文版,同时有爱好者开发的第三方中文语言包,如wopus中文语言包。WordPress拥有成千上万个插件和不计其数的主题模板样式。正是因为这些原因促使WordPress成为了一个全球著名的CMS平台,同时也被各路攻击者紧盯不放。在全球知名漏洞军火商Zerodium的收购列表中WordPressRCE(远程代码执行)漏洞价值10万美元。甚至有黑客团队专门研发了针对WordPress的漏洞扫描器WPScan。WordPress的漏洞一般分为CMS本身漏洞和插件漏洞。
DedeCMS漏洞:织梦内容管理系统,是国内最知名的PHP开源网站管理系统,以简单、实用和开源而闻名,是使用用户最多的PHP类CMS系统。织梦基于PHP+MySQL技术架构,经过多年的发展,在功能和易用性方面,取得了长足发展,适用于个人网站或中小型门户网站的构建。因为漏洞多且典型,很多版本的织梦CMS已经被作为靶机来进行练习和作为攻击工具来使用了。
Drupal漏洞:Drupal是使用PHP语言编写的开源内容管理框架(CMF),且经常被爆出代码远程执行漏洞所以危害较大,它由内容管理系统(CMS)和PHP开发框架(Framework)共同构成,能支持从个人博客到大型社区驱动的网站等各种不同应用的网站项目=。
推荐文章
