思途旅游CMS升级验证流程及破解抽包升级方法.docVIP

思途旅游CMS系统升级验证流程 ——及常规的抽包破解升级方法 由于系统开源，老板又想收费，所以在设计的时候考虑授权验证升级的方式，未授权的系统请求升级将不会响应。（流程图在第二页） 授权机制： 付费后：授权ID+域名绑定（根据域名确定身份，授权ID用于跟踪程序扩散传播） 升级方式： 客户端（网站后台检测升级操作触发）向服务器（CMS升级服务器）发起升级，服务器根据客户端版本，一个升级一个逐步升级，（返回相应的压缩包zip格式 ，一个版本升级成功再进行下一个版本升级，直到升级到最新。任何一个版本失败都会停止升级，你可以立即联系技术人员，要求人工处理。 如，当前版本3.0服务器版本5.1。升级时先下3.1，成功后4.1，然后成功后再升级5.1，有多少版本就依次升级多少次。 升级都是先解压压缩包（现在是直接根据后台根目录解压，所以每次升级都需要把后台目录改成系统原命名文件夹。），解压后执行PHP更新数据库。任何步骤出错有可以 记录日志方便排除问题。 服务器文件校验升级 其实常规的CMS系统做文件校验，升级的方式非常好。原理是服务器将常规文件生成一个文件校验特征表（自定义模板相关文件、用户上传文件相关文件都不做特征验证）。客户端在请求升级时，将本地文件特征与服务器校验，进行下载。 思途不这样做的原因： 1、想在升级后的文件内插入授权ID跟踪js代码，一验证就会暴露出来。 2、文件校验主要检测网站挂马等，文件受损的情况，而思途允许进行二次开发，开发者经常篡改原类，升级会导致二次开发失效。 可以不升级 其实一但涉及二次开发（即使你完全按照二次开发原则做），CMS就没必要升级。 原因: 二次开发后模板风格会发生很大变化，甚至会直接篡改原始的系统类或者方法，升级会造成，原有二次开发的模板或者功能失效。 即使你按规范做二次开发，也会造成，更新后的新增功能或者模板在展现上与你自己开发定义的风格不同，完全牛头马嘴，还得再二次开发这些新增的功能模块的显示风格（给二次开发人员提供持续改版机会）。 升级的好处 由于系统由多名程序人员协同开发，水平参差不齐难免会有BUG甚至安全漏洞，升级会降低相应的风险。 如果是只做了 顶部+底部+首页的简单定制，升级还是有必要的。但也要在发布包后过段时间再升级，避免升级后bug对站点造成影响。 系统升级包的提取方法（破解升级） 在下载传输流程中运用了三次握手确认，要破解升级限制非常困难。 但是任意一个授权用户在升级的同时都可以抽取出最新升级包的内容。只需要使用文件校验或修改监控工具，就可以抽出升级文件。 这种软件网上随便找一下一大堆。 时时监控改动类别 文件校验改动类别 使用以上工具还是能很方便的找到，升级的文件变化。 甚至监听更新时下载创建zip的事件用程序复制或者占用zip防止压缩包删除，监听网络包获取解压密码直接获取的升级包。 所以看似上面很复杂的验证流程，只能保证你没有授权id的清况下下载不下来升级包，但不能排除授权用户获取、抽取出升级包。 文件改动获取到升级文件的方式，只要检测文件创建又修改的时间差，去掉这些文件通信类验证你授权ID 使用情况的的js,或者PHP方法。那这种所谓的授权验证就没任何意义。 其实做完全开源的CMS系统的升级授权绑定基本没什么意义，除非核心方法加密，并且存在很强的功能依赖。 增加付款意愿的方法 普通功能完全免费（真正的程序开源），将特殊功能交由服务器处理、提供VIP增值服务，等是发展付费用户可行方法，也许会向这方面发展。 思途旅游CMS文档 系统升级验证流程 开发·运营推广总监（镀金小锄头） 已离职是否变化不清楚 第 一