dedecms漏洞工具 怎样判断一个网站是否适合优化 – dedeCMS – 前端

UI页面的优化

这方面的优化，好比是人换衣服，网站也一样，数据是不变的，变化的是前台的展现形式。对普通用户的直观感觉可能是，网站变漂亮了，但实际上可能功能并没有变化，内容也未发生变化。而在优化的过程中，确实与后台的技术有一定关联性的，请专业的UI设计公司设计静态页面，请后端的开发工程师来具体对接。

网站架构的优化

网站一般涉及用到的中间件、数据库、负载均衡、CDN加速等等，没有哪个方式是最佳的，只有最适合你的。如果你的网站访问量不大，可能普通的CMS，采用DEDE织梦这类产品，用LAMP方式就可以迅速建站。大型的网站很多人喜欢用JAVA去开发，中间件用Apache、Weblogic数据库用Oracle什么的也比较多，当然这不是大型网站选择这种方式的理由，只是多数人认为适合。也有很多网站用PHP、Python写的，也很好。如果想优化网站架构，那么要找出目前网站到底存在什么问题，对症下药。例如你发现网站存在高并发，那需要从应用的负载分担上调整网站架构。网站架构上优化，这还是要具体问题具体分析，根据您网站的实际情况定，没法给出判断标准。

SOE优化

这方面的优化，简单的说，就是提高网站被搜索引擎搜索到的概率，提升网站的点击率。因为搜索引擎，说白了，也就是个机器，它如何根据你网站的内容，推荐给合适的用户，这就需要你的网站要有它能识别到的一些信息才行。这种也有专业的公司团队来做，相对网站架构的调整，偶个人觉得更简单一些，比较容易开展。

内容审核优化

很多网站，尤其是那些管理不规范的小型站点，小公司，网站可能也就是一个管理员账号，上传内容，什么都能发。那对大型的机构，这可能就会有问题了，网站管理员上传的内容是否合适，连个审核机制都没有，这就比较尴尬了。但是这方面的优化，偶个人觉得是在网站一开始搭建的时候就要考虑，已经既成事实的，那就比较难办了，肯定涉及网站开发上的大规模调整。

安全优化

安全优化，这个涉及网站页面、漏洞扫描、基础网络等。网站的页面漏洞，例如Sql注入、跨站脚本漏洞等等，这个最好是找专业人员对网站做一次渗透测试，找到漏洞问题，请开发人员对照修复建议修改。漏洞扫描，主要对中间件、数据库软件、操作系统等进行扫描，需要运维人员做配置的优化或补丁安装。基础网络的优化，需要根据网站遭受攻击的情况，配置WAF、防火墙、DDos设备等等，就不一一列举了。如果涉及到增加网站的日志审计、权限分离等，这可能要开发大动干戈，这部分是比较难的，既成事实的网站，这方面工作很难开展。安全优化，其他方面大部分工作都可以开展，问题不大。

以上是偶对网站优化方面的个人理解，深入探讨可以再留言，谢谢。

黑客渗透测试该如何学习？

Web安全相关概念

熟悉基本概念（SQL注入、上传、XSS、CSRF、一句话木马等）。

1.通过关键字（SQL注入、上传、XSS、CSRF、一句话木马等）进行Google/SecWiki；

2.阅读《精通脚本黑客》，虽然很旧也有错误，但是入门还是可以的；看一些渗透笔记/视频，了解渗透实战的整个过程，可以Google（渗透笔记、渗透过程、入侵过程等）；

3周

熟悉渗透相关工具

熟悉AWVS、sqlmap、Burp、nessus、chopper、nmap、Appscan等相关工具的使用。

1.了解该类工具的用途和使用场景，先用软件名字Google/SecWiki；

2.下载无后们版的这些软件进行安装；

3.学习并进行使用，具体教材可以在SecWiki上搜索，例如：Brup的教程、sqlmap；

4.待常用的这几个软件都学会了可以安装音速启动做一个渗透工具箱；

5周

渗透实战操作

掌握渗透的整个阶段并能够独立渗透小型站点。

1.网上找渗透视频看并思考其中的思路和原理，关键字（渗透、SQL注入视频、文件上传入侵、数据库备份、dedecms漏洞利用等等）；

2.自己找站点/搭建测试环境进行测试，记住请隐藏好你自己；

思考渗透主要分为几个阶段，每个阶段需要做那些工作，例如这个：PTES渗透测试执行标准；

4.研究SQL注入的种类、注入原理、手动注入技巧；

5.研究文件上传的原理，如何进行截断、双重后缀欺骗(IIS、PHP)、解析漏洞利用（IIS、Nignix、Apache）等，参照：上传攻击框架；

6.研究XSS形成的原理和种类，具体学习方法可以Google/SecWiki，可以参考：XSS；

7.研究Windows/Linux提权的方法和具体使用，可以参考：提权；

8.可以参考: 开源渗透测试脆弱系统；

1周

关注安全圈动态

关注安全圈的最新漏洞、安全事件与技术文章。通

1.过SecWiki浏览每日的安全技术文章/事件；

通过Weibo/twitter关注安全圈的从业人员（遇到大牛的关注或者好友果断关注），天天抽时间刷一下；

2.通过feedly/鲜果订阅国内外安全技术博客（不要仅限于国内，平时多注意积累），没有订阅源的可以看一下SecWiki的聚合栏目；

4.养成习惯，每天主动提交安全技术文章链接到SecWiki进行积淀；

5.多关注下最新漏洞列表，推荐几个：exploit-db、CVE中文库、Wooyun等，遇到公开的漏洞都去实践下。

6.关注国内国际上的安全会议的议题或者录像，推荐SecWiki-Conference。

3周

熟悉Windows/Kali Linux

学习Windows/Kali Linux基本命令、常用工具；

1.熟悉Windows下的常用的cmd命令，例如：ipconfig,nslookup,tracert,net,tasklist,taskkill等；

2.熟悉Linux下的常用命令，例如：ifconfig,ls,cp,mv,vi,wget,service,sudo等；

3.熟悉Kali Linux系统下的常用工具，可以参考SecWiki,《Web Penetration Testing with Kali Linux》、《Hacking with Kali》等；

4.熟悉metasploit工具，可以参考SecWiki、《Metasploit渗透测试指南》。

3周

服务器安全配置

学习服务器环境配置，并能通过思考发现配置存在的安全问题。

1.Windows/环境下的IIS配置，特别注意配置安全和运行权限，可以参考：SecWiki-配置；

2.Linux环境下的LAMP的安全配置，主要考虑运行权限、跨目录、文件夹权限等，可以参考：SecWiki-配置；

3.远程系统加固，限制用户名和口令登陆，通过iptables限制端口；

4.配置软件Waf加强系统安全，在服务器配置mod_security等系统，参见SecWiki-ModSecurity；

5.通过Nessus软件对配置环境进行安全检测，发现未知安全威胁。

4周

脚本编程学习

选择脚本语言Perl/Python/PHP/Go/Java中的一种，对常用库进行编程学习。

1.搭建开发环境和选择IDE，PHP环境推荐Wamp和XAMPP，IDE强烈推荐Sublime，一些Sublime的技巧：SecWiki-Sublime；

2.Python编程学习，学习内容包含：语法、正则、文件、网络、多线程等常用库，推荐《Python核心编程》，不要看完；

3.用Python编写漏洞的exp，然后写一个简单的网络爬虫，可参见SecWiki-爬虫、视频；

4.PHP基本语法学习并书写一个简单的博客系统，参见《PHP与MySQL程序设计（第4版）》、视频；

5.熟悉MVC架构，并试着学习一个PHP框架或者Python框架（可选）；

6.了解Bootstrap的布局或者CSS，可以参考：SecWiki-Bootstrap;

3周

源码审计与漏洞分析

能独立分析脚本源码程序并发现安全问题。

1.熟悉源码审计的动态和静态方法，并知道如何去分析程序，参见SecWiki-审计；

2从Wooyun上寻找开源程序的漏洞进行分析并试着自己分析；

3.了解Web漏洞的形成原因，然后通过关键字进行查找分析，参见SecWiki-代码审计、高级PHP应用程序漏洞审核技术；

4.研究Web漏洞形成原理和如何从源码层面避免该类漏洞，并整理成checklist。

5周

安全体系设计与开发

能建立自己的安全体系，并能提出一些安全建议或者系统架构。

1.开发一些实用的安全小工具并开源，体现个人实力；

2.建立自己的安全体系，对公司安全有自己的一些认识和见解；

3.提出或者加入大型安全系统的架构或者开发；

4.看自己发展咯~

如何注册网站？

现在建个网站还是比较容易的，最简单的几乎不需要什么成本，首先你需要准备域名和服务器。

阿里云新注册的账号会有个六块钱云虚拟主机购买机会，如果只是新手或者就弄几个页面不需要大的内存，那这个云虚拟主机就够你用了。

接下来去新网或万网这些域名服务商网站注册你需要的域名。首选.com后缀的域名。以用阿里云虚拟主机为例，你得把注册好的域名备案，访问阿里云官方网站，备案专区，按提示进行操作，备案大概得二十天左右。

等域名备案成功，那作为搭建一个网站来说已经准备妥当了，登录域名所在账号，对域名进行解析，解析到买的云虚拟主机，解析方法看网站提示。

现在你已经可以通过域名来访问网站了，只不过你的网站还没有程序，你能看到的可能只是一个静态HTML页面，接下来你就需要把你的网站程序部署到云主机上。以dedecms为例，从dedecms官网下载源码，解压后把uploads里的所有文件上传到主机根目录下，然后访问:你的域名/install/，进行安装，具体方法可以百度织梦安装教程，很多详细，按步骤来即可，安装完成后就完成了，你已经可以通过域名访问你的dede网站，然后可以去下载个织梦模板，具体方法百度教程即可，资源很多，到这里就已经搭建了一个完整的有备案网站。

是不是修改下阿里云密码？

大家好，偶是老李，谢谢你邀请偶回答自己领域相关专业问题！

首先给你个肯定答案，只修改阿里云密码肯定不行

为什么这样说呢，听老李来给你详细的解答下

阿里云密码只是管理服务器重启等一些简单操作的密码，这个首先肯定要修改，但不是修改了这个密码就万无一失了。

网站还有后台管理密码，这个和阿里云密码不是一样的功能，所以这个密码必须修改，不修改就可以登陆后台任意删除网站内容。

再有就是FTP密码，这个是用来上传下载网站内容的，这个也必须修改，不修改就可以用FTP登陆服务器删除服务器上所有的东西。

还有就是网站可能被人家留有后门，这样不管你修改了所有的密码，人家还会一样登陆，这个才是最麻烦的，建议你找专业人员给你检查网站是否有后门。

专业的人士，给你专业的解答，希望对你有帮助！大家可以关注老李，看更多电脑、安防相关视频教程！

请问如果网站请专业网站公司做靠谱吗？

你如果自己不懂点技术、产品和运营方面的知识，不能把自己的想法、商业模式完整的输出和执行，老实说你通过网站创业难度还是很大的，因为一般的外包建站公司技术其实都很low，不说别的，你就让他做一个微信登录、微信支付宝收款和小程序同步他都做不了，都不是钱的问题，另外你的想法和技术人员沟通后会发生很多损耗，也就是说最后做出来的东西和你想要的东西可能差之千里，所以你要么自己非常熟悉这个领域，要么你能找一个特别专业的人一起做，因为创业是长期的事情，不是一蹴而就的做一个网站就完了，你可以看看偶的网站和偶学生的网站，都是一个人独立完成的，心里怎么想就怎么做。