[网转]YzmCMS研究v6.6源代码调研分析

【研究对象】
源码名称:Y|z|m|CMS
版本:v6.6(20220918)
源码作者:袁志蒙
【背景】
有朋友让我看看此CMS是否满足他的需求,顺便看看怎么防止他拿到使用者域名。所以才有了这次审计调研

【优点:表扬】
1. 作者代码确实干净,不过少部分代码好像抄袭了帝国phpcms(仅仅个人感觉)
2. 支持php8.0,这点我还是非常佩服,加分项
3. 代码加密部分,不依赖扩展,算是良心

4. 具备CMS该有的东西

【缺点:希望改进】
1. 作者你既然承诺了100%开源,为什么还有2个核心文件进行了简单加密,既然加密了就不叫100%开源了。
[网转]YzmCMS研究v6.6源代码调研分析
2. 代码不符合PHP-FIG组织定义的PSR规范(比如什么D函数,m函数,U函数,类文件名带有下划线), 应该作者之前用ThinkPHP用多了,被带歪了,这点可以有成长的机会
3. 2个加密文件
application/admin123sky/controller/index.class.php
[网转]YzmCMS研究v6.6源代码调研分析
每当站长进入后台public_home,就会在html代码封尾部,追加一个js请求作者网站后台服务器,而且收集了站长很多信息哦(收集信息就有点过分了,你收集域名可以,但服务器IP,mysql版本,php版本,你收集干啥,DDOS威胁?),所有收集逻辑都在下面这个代码里,你又给加密了。

application/admin123sky/common/lib/update.class.php
[网转]YzmCMS研究v6.6源代码调研分析

4. 后台地址admin,竟然无法自定义,按作者的解释,代码安全做得非常牛逼了。这点不可自定义admin后台目录,有点遗憾,也有点怀疑用途。

【总结】
1. 这套CMS,至少比我之前PbootCMS功能更好更完善;而且代码加密更简单,算作者人品比PB更好吧。推荐使用
2. 如果CMS已经满足你了,而且没有必要去买他的插件等等,完全可以二次开发或者不开发,直接解密后,注释掉“system_information”内原本函数,并写一行”echo $data;”即可,如上图
3. 在线升级版本这些东西,其实挺危险的,毕竟作者收集了很多东西,哪天要渗透进来(他要求很多目录给755/777权限,就是所谓执行权限),非常容易;建议不要在线升级了。而且其他任何产品,有在线升级的,都要慎用。
4. 防止作者找到你使用源码,最好的办法,改掉后台地址admin。已解决:方法–>A.需要改动几个函数,判断入参是admin,然后替换即可,B.而且要对数据库表menu中的m字段是admin的一起修改为新admin目录名

收藏 (0) 打赏

感谢您的支持,我会继续努力的!

打开微信/支付宝/QQ扫一扫,即可进行扫码打赏哦,分享从这里开始,精彩与您同在
点赞 (0)

1. 本站所有资源来源于用户上传和网络,均不允许转载,如有侵权请联系站长!
2. 分享目的仅供大家学习和交流,您必须在下载后24小时内删除!
3. 如发现会员转载本站资源文章,本站有权封禁会员账号!
4. 不得使用于非法商业用途,商用请购买正版,不得违反国家法律。否则后果自负!
5. 本站提供的源码、模板、插件等等其他资源,都不包含技术服务请大家谅解!
6. 如有链接无法下载、失效或广告,请联系管理员处理! 7. 本站资源售价只是赞助,收取费用仅维持本站的日常运营所需!

易生阁资源网 技术分享 [网转]YzmCMS研究v6.6源代码调研分析 https://www.yishengge.top/12755.html

常见问题
  • 本站所有源码、素材版权归原作者所有,新手源码提供的源码只能用于学习研究,请勿直接商用。若由于商用引起版权纠纷,一切责任均由使用者承担。
查看详情
  • 最常见的情况是下载不完整: 可对比下载完压缩包的与网盘上的容量,若小于网盘提示的容量则是这个原因。这是浏览器下载的bug,建议用谷歌浏览器。
查看详情

相关文章

[网转]YzmCMS研究v6.6源代码调研分析-海报

分享本文封面