帝国网站管理系统经常被攻击怎么回事

帝国EmpireCMS7.5最新后台漏洞审计

“专业、务实、高效、创新、把客户的事当成自己的事”是我们每一个人一直以来坚持追求的企业文化。 成都创新互联是您可以信赖的网站建设服务商、专业的互联网服务提供商! 专注于网站建设、做网站、软件开发、设计服务业务。我们始终坚持以客户需求为导向，结合用户体验与视觉传达，提供有针对性的项目解决方案，提供专业性的建议，创新互联建站将不断地超越自我，追逐市场，引领市场！

1概述

最近在做审计和WAF规则的编写，在CNVD和CNNVD等漏洞平台寻找各类CMS漏洞研究编写规则时顺便抽空对国内一些小的CMS进行了审计，另外也由于代码审计接触时间不是太常，最近一段时间也跟着公司审计项目再次重新的学习代码审计知识，对于入行已久的各位审计大佬来说，自己算是新手了。对于审计也正在不断的学习和积累中。于是抽空在CNVD上选取了一个国内小型CMS进行审计，此次审计的CMS为EmpireCMS_V7.5版本。从官方下载EmpireCMS_V7.5后进行审计，审计过程中主要发现有三处漏洞（应该还有其他漏洞暂未审计）：配置文件写入、后台代码执行及后台getshell，造成这几处漏洞的原因几乎是由于对输入输出参数未作过滤和验证所导致。

2前言

帝国网站管理英文译为”EmpireCMS”，它是基于B/S结构，安全、稳定、强大、灵活的网站管理系统.帝国CMS 7.5采用了系统模型功能：用户通过此功能可直接在后台扩展与实现各种系统，如产品、房产、供求…等等系统，因此特性，帝国CMS系统又被誉为“万能建站工具”;大容量数据结构设计;高安全严谨设计;采用了模板分离功能：把内容与界面完全分离，灵活的标签+用户自定义标签，使之能实现各式各样的网站页面与风格;栏目无限级分类;前台全部静态：可承受强大的访问量;强大的信息采集功能;超强广告管理功能……

3代码审计部分

拿到该CMS后先把握大局按照往常一样先熟悉该CMS网站基本结构、入口文件、配置文件及过滤，常见的审计方法一般是：通读全文发（针对一些小型CMS）、敏感函数回溯法以及定向功能分析法，自己平常做审计过程中这几个方法用的也比较多。在把握其大局熟悉结构后，再通过本地安装去了解该CMS的一些逻辑业务功能并结合黑盒进行审计，有时候黑盒测试会做到事半功倍。

常见的漏洞个人总结有：

1）程序初始化安装

2）站点信息泄漏

3）文件上传

4）文件管理

5）登陆认证

6）数据库备份

7）找回密码

8）验证码

若各位大佬在审计过程中还有发现其他漏洞可补充交流。

帝国CMS发布信息内容关键字长度有多少字，如何设置不限长度?

网页标题最好是7个汉字以上，不要超过30个汉字，

目前常见的搜索引擎百度和谷歌，显示的标题一般是60个字符，也就是30个汉字，如果你的网页标题超过30个字，那后面的就会截断，用省略号“…”代替，如下图：

一般来说，网页标题最好是7个汉字以上，不要超过30个汉字，对于搜索引擎来说，标题中越靠前的内容越重要，靠后的内容比较次要，所以要把最重要的关键字，尽量放在前面位置，用一句简短的话来概括网页内容，不要用列举的形式，一个词一个词的隔开。

标题原则：“内容高度概括、符合常规语言习惯、符合大众搜索习惯”。

符合常规语言习惯和搜索习惯非常重要，标题写的再好，如果使用了不符合人们习惯的关键词，即使该关键词排名第一，用户依然找不到你。

写文章标题之前对关键词的整理和分析很重要的，在对每一个关键词做选择的时候一定要考虑如下三点。

1、关键词的价值性

如果一个关键词没有任何价值，我们也没有做优化的必要，所以判断一个关键词的价值性是一项综合考虑的因素，可以从搜索习惯，百度的指数，搜索结果相关度等等方式判断某一个关键词的价值。

2、关键词的相关性

对于一个电子商务网站来说，产品名称很可能就是因为换了一个字那么就可以变成了另外一个产品，比如“服装”跟“制服”就完全不一样，所以一定要注意这一点，如果自己不是很了解可以先查找一些相关的知识或者找熟悉这方面的人先咨询一下，不然到最后自己花了大量的时间来做推广，结果却做了无用功。

3、用户体验

是否符合用户的搜索习惯以及要求，大家在搜索的时候是否会用你设定的这几个关键词进行搜索，明白他们的想法和意思，考查实际情况，针对不同的网民进行设定。

有的分站把城市名也作为一个关键词来搜，比如在百度搜“磐石”，这是不符合客户的搜索习惯的，客户查找信息时一般有一个明确的目标，很少搜一个城市名字(除非是漫无目的)，而且与“磐石”相关的网站已经不计其数，很多网站在你之前做了很多年，已经获得很靠前的排名，所以强烈建议在城市名后面加上与网站相关的关键词。

帝国cms 高级搜索search

我做了这么多帝国cms了，test.txt这个文件几乎极少用到，至于title.txt这个文件，官方的帝国cms源代码包里面是没有这个文件的，不知道你是从哪儿下载的。

因为平常都很少用到，官方似乎也没有太多这方面的教程，网上也搜不到相关有用的信息，我给出我自己的答案，仅供参考：

1、test.txt：我原先猜测test.txt可能是帝国cms官方给出的测试用的搜索关键词，但是打开这个文件，只有简单的一行代码!--EmpireCMS--，让人摸不着头脑，百度一下也没有相关方面的介绍，官方文档也没有描述。后来我在\e\class\comdofun.php文件中的ClearTmpFileData()函数中找到了该文件的用法。这个函数是帝国后台的数据更新功能中 “清空临时数据与文件”操作用的。我仔细查看了该函数对test.txt的用法，基本可以确定，test.txt的用途，只是用来提供帝国检验 某个文件夹或目录 的可写可读等 权限用的。换句话说，这是帝国的系统自带的检测功能的某个组成部分，对于用户来说，绝大多数情况下 几乎不会用到 这个文件。

建议：保留这个文件，如果删除可能导致帝国对该目录 的检测失灵。

2、title.txt：这个不是帝国官方的文件，我看了一下你的截图，里面的格式应该属于 常用的标题搜索热词 之类的。具体看内容，我猜你很有可能下载的是 影视类的帝国cms，是经过别人再次开发过的源代码，由于我没有你这个版本的 源代码，所以不能肯定 这个文件是否 在别人开发过的源代码中被引用到。建议你也保留。

帝国cms怎样限制截取[!--smalltext--]、[!--newstext--]里的内容？

在对应的 模板里面设置

需要域名的话 可以搜索 西魁网络 cn域名15元 网站空间35元