dedecms配置數據庫，黑客為什么可以做到無需知道源碼的情況下找出系統漏洞？

關注我，帶你以技術思維看世界～

作為一個7年老程序員，來強答一波。

找漏洞的過程

題主這個問題其實是從一個慣性思維來提出的。為什么呢？

因為一個新的漏洞其實不是通過某種方式先知道這里有個漏洞之后再利用它來攻擊的，而更像是“蒙”的。是通過不斷的調整輸入的數據和輸入方式，直到出現“意料之外”的情況，這才是找漏洞的真正過程。

很多黑客雖然算不上是coding高手，但是對于一個程序是如何編寫出來的，還是有基本的認識的。借此，他其實就知道自己如果發起一個請求可能會怎么樣被處理，然后剩下的與編寫這部分代碼的程序員之間的博弈，這個過程有點像兩個人下圍棋。

一般黑客會將自己用過的“攻擊方法和攻擊數據”整合到自己的一個“武器箱”中，后續就通過程序化的方式自動去運行攻擊，自己則是觀察整個攻擊過程，看看能不能發現新的機會。

這些才是黑客的工作過程。

視角有什么區別嗎？

黑客和軟件開發者的視角肯定是不同的，而且正好相反。

軟件開發者要做的事是什么？就是如何把一個程序寫“正確”，符合設定的預期。你可以這樣來理解，好比是帶著一個“參考答案”和“解題思路”去寫代碼。

但是我們知道，任何事物都有兩面性，或者說不是“完美”的，“解題思路”也是如此。

更何況，“解題思路”的目的是如何變得“正確”，而不是“不正確”，從思維慣性上就不會考慮那些讓它變得“不正確”情況。否則不是和自己要完成的事背道而馳么。

黑客的視角與軟件開發者正好相反，倒是和常見的「測試工程師」的視角比較接近。就是通過逆向思維來想盡辦法把這個程序搞的“不正確”。

具體的過程就是第一部分內容講的那些。

希望對你有所幫助：）

歡迎在留言區補充或者闡述不同觀點，與我交流。

如果覺得回答對你有所幫助的話給我點個「贊同」并「關注我」吧，支持我的創作。

謝謝你的舉手之勞～

了解Z哥更多，歡迎搜索微信公號：跨界架構師。讓我們一起為了理想的生活而奮斗。我還會不定期的送出粉絲福利哦。

內容包括：架構設計丨分布式系統丨產品丨運營丨個人深度思考。

dede后臺被入侵？

1.先將templets 模板文件下載到本地，用批量替換工具將掛的黑鏈替換，并檢查templets 模板有沒有后門程序，如：.php 為后綴結尾的，你都分析下，里面很有可能隱藏后門程序。

2.對uploadfile 程序進行備份，下載到本地，檢查有沒有.php 為后綴結尾的 并分析 3.對數據庫進行備份，并將備份下載到本地 4.對整個程序進行備份，并下載到本地 5.刪除服務器上的整個網站，在dede官方，下載一個與你程序一致的版本，上傳到服務器，并重新安裝 6.將 檢查后的 ：數據庫，和 uploadfile 和 templets 上傳覆蓋 服務器 完成以上步驟后 掛的連接 已經被清楚，包括后面程序也被清理。

做一個軟件下載站？

一般用DW程序設計網頁或者從網上找一些網站程序（例如discuz\wordpress\dedecms等），然后用FTP上傳至空間上。

COM國際域名+虛擬主機-普及版（1G空間，送50MSQL數據庫），網站備案免費。每年費用是185元。

如需域名和空間可以找咱們。

如何創建一個網站？

這可能是全網搭建網站最簡單的方法，這個教程已經幫助上千人成功使用WordPress搭建了自己的博客網站！！！

什么是WordPress？

WordPress是一個免費開源的建站軟件，可用于搭建博客、知識文庫、作品展示、企業官網、電子商務等類型網站，全球42%的網站都在使用，小到興趣博客，大到《財富》500強企業。我的這個博客就是使用WordPress創建的。

為什么用WordPress，不用其他的？

無論用哪個建站程序都要去學習，但是學習WordPress顯然更劃算，比如除了可以用WordPress搭建博客外，還可以搭建官網，知識文庫，作品展示網站，跨境電商網站等，在今后的學習和工作中使用更廣泛，甚至你可以用WordPress來接建站單賺錢！

1、先注冊一個域名

域名例如

baidu.com

就是一個域名，域名后綴有com、cn、net、cloud等，國內可以在 騰訊云、阿里云 購買，國外可以用 Godaddy 購買，過程就不多說了，選擇自己喜歡的字符組合下單付款就行。

需要注意的是在騰訊云和阿里云以及其他國內的域名注冊商注冊域名，需要實名認證通過之后才能用，在Godaddy以及國外的域名服務商注冊的非cn后綴域名不需要實名認證，cn域名無論在哪里注冊都要實名認證。

2、安裝WordPress

正常情況下安裝WordPress需要購買主機，安裝環境，配置數據庫，上傳WordPress等操作，這里推薦一個更簡單的辦法

訪問 www.wpbox.cloud 點擊免費試用，30秒內即可部署一個WordPress網站，部署完成后會自動彈出網站的域名，后臺地址和賬號密碼，默認的管理員密碼記得改一下。

3、瀏覽器訪問網站域名

登錄后臺測試，默認的文章可以刪除。

管理后臺

WordPress已經安裝完了，是不是很簡單。

4、修改完這個域名

上面生成的網站默認贈送了一個子域名，我們這里把域名改成自己的，看一下下面這個文章

https://www.wpbox.cloud/archives/974

當然關于WordPress的知識還有很多，你還需要去設置一下菜單導航，文章分類，主題插件什么的。另外WordPress的使用場景有很多，不僅僅是建設博客，還可以用于、知識文庫、作品展示、企業官網、電子商務等類型網站。

不過不用擔心，可以持續關注我，會持續分享很多關于WordPress的使用教程。

一般用什么編程語言？

一個非常好的問題。題主沒有說網站的主要用途，一般來講，推薦Java + Spring Boot開發Web應用是常用搭配，前端開發使用JavaScript。

一，系統架構

前后端使用動靜分離架構，后端Web服務封裝REST接口，前端調用實現交互，系統易擴展，易于部署維護。

二，后端開發

Java + Spring Boot是當前主流的開發語言和框架，簡化了瑣碎的配置工作，提高開發效率。

三，前端頁面

根據不同也業務場景有很多開發框架可以選擇。以適用于信息管理系統的阿里開源框架Ant Design Pro為例，開發JavaScript代碼調用后臺服務接口。

Ant Design Pro是一個中后臺前端設計解決方案，提供了豐富的設計模式和相應的代碼實現，快速開發出一個Web管理系統。

首先安裝Node環境，然后運行npm create umi，自動安裝Ant Design Pro腳手架，包含了一個完整的開發框架，提供了各類功能模塊。

四，數據層

常見數據層有MySQL數據庫，持久化框架MyBatis，代碼生成器MyBatis Plus

1）常見的CRUD操作通過調用自動生成的Service接口，比如讀寫log數據表。

2）如果用戶量并發量較高，需要考慮接口讀寫數據庫的性能，集成Redis搭建緩存機制，頻繁讀取的數據優先使用緩存

3）如果需要平滑高峰期負載，引入ActiveMQ或者kafka消息隊列，將業務處理異步結構

五，基于Web服務腳手架，快速開發產品原型

從實際項目中整理提煉的Web服務腳手架，集成常用的組件功能，快速開發產品。

如何獲取源碼：私信”源碼客”獲取下載地址。

我是工作多年的Web應用架構師，歡迎關注我，了解更多IT專業知識。