dedecms注入，學什么語言比較好？

黑客的話不建議你學，因為要學的東西名字就能寫個一千字的作文，你說的黑客是指入侵，入侵包括web和端口，先把要學的語言列一下，html，css，JavaScript，Java，PHP，Python，SQL，nosql，匯編，C語言這些就差不多了，然后要學習各種網絡協議，比如http，HTTPS，ftp，smtp，ssh，Telnet，smb，rdp，WiFi，outh，等等吧，然后你要了解各種漏洞形成的原理比如SQL注入，xss，文件上傳，CSRF，跨域請求，命令執行，文件包含，目錄遍歷，緩沖區溢出，整型溢出等等，還有就是你要理解CS和BS架構，比如用戶client請求一個URL，經過TCP上的DNS，解析到目標服務器的負載均衡，再解析到中間件，服務器等等一堆名詞，另外你要了解waf和防火墻的原理和使用，入侵檢測系統原理和使用，木馬病毒的原理和手工排查方式，另外呢你還要了解各種各樣工具尤其是命令行工具的使用，比如nmap，sqlmap，burp，wvs,御劍，大馬小馬，wireshark，tcpdump，kali你要熟悉，另外你要熟悉Linux常見命令和工具，就啊要很熟練Linux系統，然后咱們說二進制的漏洞技術，包括漏洞挖掘技術和漏洞分析，漏挖主要靠模糊測試，你要了解個鐘模糊測試軟件和測試的原理，挖到漏洞你要會調試，繞過系統的內存保護機制，比如加載地址隨機化，棧cookie，SEH，安全SEH，數據執行保護等等，你要了解他們的原理和繞過方法，脫殼的方法，學會逆向調試，然后你要了解編程語言在內存中編譯成了什么樣，才能利用Python寫個腳本利用成功！最后呢滲透還要了解域滲透，內網橫向移動，隧道封裝技術，木馬免殺等等，哦忘記說了，你還要了解主流的網站系統比如WordPress，discuz，織夢，帝國，thinkPHP，spring等等，服務器的話你要會配置Apache，NGINX，Tomcat之類的，如果你能熟練應用我上面說的技術，那你就不是腳本小子了，算是一名黑客了!加油

黑客滲透測試該如何學習？

Web安全相關概念

熟悉基本概念（SQL注入、上傳、XSS、CSRF、一句話木馬等）。

1.通過關鍵字（SQL注入、上傳、XSS、CSRF、一句話木馬等）進行Google/SecWiki；

2.閱讀《精通腳本黑客》，雖然很舊也有錯誤，但是入門還是可以的；看一些滲透筆記/視頻，了解滲透實戰的整個過程，可以Google（滲透筆記、滲透過程、入侵過程等）；

3周

熟悉滲透相關工具

熟悉AWVS、sqlmap、Burp、nessus、chopper、nmap、Appscan等相關工具的使用。

1.了解該類工具的用途和使用場景，先用軟件名字Google/SecWiki；

2.下載無后們版的這些軟件進行安裝；

3.學習并進行使用，具體教材可以在SecWiki上搜索，例如：Brup的教程、sqlmap；

4.待常用的這幾個軟件都學會了可以安裝音速啟動做一個滲透工具箱；

5周

滲透實戰操作

掌握滲透的整個階段并能夠獨立滲透小型站點。

1.網上找滲透視頻看并思考其中的思路和原理，關鍵字（滲透、SQL注入視頻、文件上傳入侵、數據庫備份、dedecms漏洞利用等等）；

2.自己找站點/搭建測試環境進行測試，記住請隱藏好你自己；

思考滲透主要分為幾個階段，每個階段需要做那些工作，例如這個：PTES滲透測試執行標準；

4.研究SQL注入的種類、注入原理、手動注入技巧；

5.研究文件上傳的原理，如何進行截斷、雙重后綴欺騙(IIS、PHP)、解析漏洞利用（IIS、Nignix、Apache）等，參照：上傳攻擊框架；

6.研究XSS形成的原理和種類，具體學習方法可以Google/SecWiki，可以參考：XSS；

7.研究Windows/Linux提權的方法和具體使用，可以參考：提權；

8.可以參考: 開源滲透測試脆弱系統；

1周

關注安全圈動態

關注安全圈的最新漏洞、安全事件與技術文章。通

1.過SecWiki瀏覽每日的安全技術文章/事件；

通過Weibo/twitter關注安全圈的從業人員（遇到大牛的關注或者好友果斷關注），天天抽時間刷一下；

2.通過feedly/鮮果訂閱國內外安全技術博客（不要僅限于國內，平時多注意積累），沒有訂閱源的可以看一下SecWiki的聚合欄目；

4.養成習慣，每天主動提交安全技術文章鏈接到SecWiki進行積淀；

5.多關注下最新漏洞列表，推薦幾個：exploit-db、CVE中文庫、Wooyun等，遇到公開的漏洞都去實踐下。

6.關注國內國際上的安全會議的議題或者錄像，推薦SecWiki-Conference。

3周

熟悉Windows/Kali Linux

學習Windows/Kali Linux基本命令、常用工具；

1.熟悉Windows下的常用的cmd命令，例如：ipconfig,nslookup,tracert,net,tasklist,taskkill等；

2.熟悉Linux下的常用命令，例如：ifconfig,ls,cp,mv,vi,wget,service,sudo等；

3.熟悉Kali Linux系統下的常用工具，可以參考SecWiki,《Web Penetration Testing with Kali Linux》、《Hacking with Kali》等；

4.熟悉metasploit工具，可以參考SecWiki、《Metasploit滲透測試指南》。

3周

服務器安全配置

學習服務器環境配置，并能通過思考發現配置存在的安全問題。

1.Windows2003/2008環境下的IIS配置，特別注意配置安全和運行權限，可以參考：SecWiki-配置；

2.Linux環境下的LAMP的安全配置，主要考慮運行權限、跨目錄、文件夾權限等，可以參考：SecWiki-配置；

3.遠程系統加固，限制用戶名和口令登陸，通過iptables限制端口；

4.配置軟件Waf加強系統安全，在服務器配置mod_security等系統，參見SecWiki-ModSecurity；

5.通過Nessus軟件對配置環境進行安全檢測，發現未知安全威脅。

4周

腳本編程學習

選擇腳本語言Perl/Python/PHP/Go/Java中的一種，對常用庫進行編程學習。

1.搭建開發環境和選擇IDE，PHP環境推薦Wamp和XAMPP，IDE強烈推薦Sublime，一些Sublime的技巧：SecWiki-Sublime；

2.Python編程學習，學習內容包含：語法、正則、文件、網絡、多線程等常用庫，推薦《Python核心編程》，不要看完；

3.用Python編寫漏洞的exp，然后寫一個簡單的網絡爬蟲，可參見SecWiki-爬蟲、視頻；

4.PHP基本語法學習并書寫一個簡單的博客系統，參見《PHP與MySQL程序設計（第4版）》、視頻；

5.熟悉MVC架構，并試著學習一個PHP框架或者Python框架（可選）；

6.了解Bootstrap的布局或者CSS，可以參考：SecWiki-Bootstrap;

3周

源碼審計與漏洞分析

能獨立分析腳本源碼程序并發現安全問題。

1.熟悉源碼審計的動態和靜態方法，并知道如何去分析程序，參見SecWiki-審計；

2從Wooyun上尋找開源程序的漏洞進行分析并試著自己分析；

3.了解Web漏洞的形成原因，然后通過關鍵字進行查找分析，參見SecWiki-代碼審計、高級PHP應用程序漏洞審核技術；

4.研究Web漏洞形成原理和如何從源碼層面避免該類漏洞，并整理成checklist。

5周

安全體系設計與開發

能建立自己的安全體系，并能提出一些安全建議或者系統架構。

1.開發一些實用的安全小工具并開源，體現個人實力；

2.建立自己的安全體系，對公司安全有自己的一些認識和見解；

3.提出或者加入大型安全系統的架構或者開發；

4.看自己發展咯~

為什么李白的憶秦娥被譽為千古絕唱？

南宋以來，即傳此詞與另一首《菩薩蠻》為李白作。南宋黃昇，號花庵稱“二詞為百代詞曲之祖”《花庵詞選》，評價甚高。

簫聲咽，秦娥夢斷秦樓月。秦樓月，年年柳色，霸陵傷別。

樂游原上清秋節，咸陽古道音塵絕。音塵絕，西風殘照，漢家陵闕。

這首《憶秦娥》，對后代頗有影響，故又名《秦樓月》。此作是寫一個年輕女子對久別未歸的戌邊丈夫的殷切思念，及其凄涼悲苦的愁緒。整首詞構思完整，主題清晰。但它與一般詞作的寫法不同，它采用倒裝和倒敘的手法、跳躍式的情節、借古傷今的筆觸，來抒發主人公纏綿徘惻的“閨思”。

因而，就使詞作具有曲折回環，波瀾起伏，大開大合的特點。頗有彩云飛天，似斷非斷之妙。若不細細體會，可能迷失路徑，“不識廬山真面目”。

開頭兩句，是寫長安一家閨中少婦，在睡夢中還在思念遠在邊塞的戍邊丈夫，當她一夢醒來，舉目所見，樓斗明月月如水，清景無限，不知誰人，又吹奏起嗚咽似泣的簫聲。此情此景，便加深了她縷縷的情思。

這兩句，是采用倒裝筆法，即“秦娥夢斷秦樓月，簫聲咽。”只有看到這點，才能體會這兩句詞的完整含意。從全詞的構思和結構來看，看到的是“秦樓月”，寫的是秋月，秋月寒光逼人，簫聲嗚咽凄切，則更加激起主人公思夫的愁緒。長安屬于古代秦地，故稱詞中主人公為“秦娥。”娥，是對美女的稱謂。揚雄《方言》說“秦、晉之間，美貌謂之娥。”“夢斷”，是夢醒的意思。開頭兩句為第一層次。

“秦樓月，年年柳色，霸陵傷別”三句，是倒敘筆法，好似電影的回憶鏡頭。為詞作的第二個層次。不過，這三句具有一語雙關的作用。霸陵，是漢文帝劉恒的墳墓，附近有霸（灞）橋，是古人折柳送別之地。詞作借古人在灞橋送別的史實，來抒發女主人公曾在灞橋與丈夫折柳相別的依依難舍之情。看來，秦娥與丈夫，曾經有過一段美滿的伉儷生活，因官府差役拆散了這一對沉于熱戀中的夫妻。

“秦樓月”，是上句的重疊句，只是在構思上起承前啟后的過渡作用，并沒有實際意義。也可以說這是虛筆。“年年柳色，霸陵傷別”才是實寫。這兩句寫女主人公的丈夫遠在天涯，每年春天，她看見楊柳依依，便愁思滿懷，更加感到孤寂的痛苦。這里聽寫，與一般詞作所寫的春愁秋恨不同，它深含著女主人公對丈夫的懷念真情。

“樂游原上清秋節，咸陽古道音塵絕”兩句，又從前三句的圈憶鏡頭拉回來，思路緊承開頭兩句寫來，為詞作的第三個層次。“樂游原”，在長安東南，有秦朝宣春苑和漢朝樂游苑故址。唐代武后年間，太平公主在此建亭閣。地勢居高臨下，可鳥瞰全城及周圍的陵墓。每年正月晦日、三月三日、九月九日，長安士女紛紛來此游覽。咸陽，在長安西北，漢、唐取道西北經商或從軍，必經此地。

“清秋節”，即九月九日的重陽節。這兩句寫主人公于重陽佳節，出來解悶散憂，來到樂游原，看見眾多成雙結對的士女，興高彩烈、歡喜非常的熱鬧情景，便觸景情生，更增添許多煩惱和愁思。她望眼欲穿地眺望“咸陽古道”，那是丈夫歸來的道路。然而丈夫久無書信，吉兇未卜，怎能使她無懸念呢？

最后三句，非常成功地運用借景抒情之筆，描繪出主人公近于絕望的凄涼心理。為詞作的第四個層次。“西風殘照，漢家陵闕”兩句，寫得絕妙，王國維說“寥寥八字，遨關千古登臨之口。”《人間詞話》寫黃昏時刻，西風陣陣，寒氣侵人，夕陽發出迷茫的余輝，映照在漢代帝王陵墓的樓觀上，呈現出一片既悲壯而又凄涼的景象。懷人傷亂的情思，依稀可見。

再有，詞作利用烘托氣氛，來表現人物的心理變化，手法絕高。譬如，“簫聲咽”、“咸陽古道”、“西風殘照”等凄涼迷茫的氣氛描寫，對濃化秦娥思夫惆悵感情、增加其寂寞凄楚的心理，都有重要作用。同時，詞作在遣詞用字上，有濃郁的感情色彩，這對表現人物心理情態，頗有為虎添翼的作用。其中咽、傷、清、絕、西風、殘照等字詞，都有強烈的感情色彩，對表現詞作的感傷情調及主人公的愁苦心理，都有積極的藝術效果。

“音塵絕”一句的疊用，與“秦樓月”的疊用不同，它具有加重語氣，渲染氣氛、刻畫主人公悲涼、寂苦、一失望的心理狀態的作用。統觀全詞，即可看出，此作具有非同一般的藝術特點，作者通過“秦樓月”、“楊陵傷別”、“樂游原上清秋節”、“西風殘照，漢家陵閱”等幾個本來不相關的特寫鏡頭的描寫，來為表現秦娥思夫的主題服務。

這首詞的藝術性比較高，如果按照一般詞作的章法來看待，就很難看到其中的獨到之處。在構思上，詞作為四個層次，回環曲折，波瀾起伏，由于倒裝句、回憶鏡頭和現實描寫的手法相間運用，就使詞作的情節發展跳動幅度很大。

為什么都推薦使用wordpress而不是phpcms這些國內的CMS呢？

我是2006年落伍老站長了，安全第一，除了WordPres，少有幾十年持續維護更新且擴展豐富的cms源碼。主流cms除了wc的帝國cms還在維護，其他都停止維護了。

web程序更新update非常重要，現在賭博色情違法spam和攻擊太多，處理不好會坐牢的，一旦網站被攻擊，站長很難自證清白。

落伍者站長論壇就有人因被入侵而被處罰，我也曾經因此被警方傳喚檢查電腦手機。

我最早用dedecms，bug極多，后來用phpcms，官方停止維護，安全問題xss注入太多，只能全部轉換成WordPress。

WordPres要小心模版有后門，我去年批量使用某個themes主題，導致被xss，直接被微信封了十幾個域名。

如今我建議做交互不多的網站，本地構建環境，生成HTML，再映射附件和HTML目錄，用sync自動對比或者直接掛載，上傳到支持云對象存儲的bucket，再把主域名cname解析到bucket，自定義好默認首頁即可全站靜態化。

對象存儲無法執行，只能靜態訪問，無懼大多數攻擊。這也是政府網站維護人員推薦給我的解決方案。