思途旅游CMS升级验证流程及破解抽包升级方法

思途旅游CMS 文档 系统升级验证流程

思途旅游CMS 系统升级验证流程

——及常规的抽包破解升级方法

由于系统开源，老板又想收费，所以在设计的时候考虑授权验证升级的方式，未授权的

系统请求升级将不会响应。（流程图在第二页）

授权机制：

付费后：授权ID 域名绑定（根据域名确定身份，授权ID 用于跟踪程序扩散传播）

升级方式：

客户端（网站后台检测升级操作触发）向服务器（CMS 升级服务器）发起升级，服务

器根据客户端版本，一个升级一个逐步升级，（返回相应的压缩包zip 格式) ，一个版本升级

成功再进行下一个版本升级，直到升级到最新。任何一个版本失败都会停止升级，你可以立

即联系技术人员，要求人工处理。

如，当前版本3.0服务器版本5.1。升级时先下3.1，成功后4.1，然后成功后再升级5.1，

有多少版本就依次升级多少次。

升级都是先解压压缩包（现在是直接根据后台根目录解压，所以每次升级都需要把后台

目录改成系统原命名文件夹。），解压后执行PHP 更新数据库。任何步骤出错有可以 记录日

志方便排除问题。

服务器文件校验升级

其实常规的CMS 系统做文件校验，升级的方式非常好。原理是服务器将常规文件生成

一个文件校验特征表（自定义模板相关文件、用户上传文件相关文件都不做特征验证）。客

户端在请求升级时，将本地文件特征与服务器校验，进行下载。

思途不这样做的原因：

1、想在升级后的文件内插入授权ID 跟踪js 代码，一验证就会暴露出来。

2、文件校验主要检测网站挂马等，文件受损的情况，而思途允许进行二次开发，开发

者经常篡改原类，升级会导致二次开发失效。

可以不升级

其实一但涉及二次开发（即使你完全按照二次开发原则做），CMS 就没必要升级。

原因:

1、二次开发后模板风格会发生很大变化，甚至会直接篡改原始的系统类或者方法，升

级会造成，原有二次开发的模板或者功能失效。

2、即使你按规范做二次开发，也会造成，更新后的新增功能或者模板在展现上与你自

己开发定义的风格不同，完全牛头马嘴，还得再二次开发这些新增的功能模块的显示风

格（给二次开发人员提供持续改版机会）。

开发·运营推广总监（镀金小锄头） 第 1 页 共 1 页 已离职是否变化不清楚

思途旅游CMS 文档 系统升级验证流程

开发·运营推广总监（镀金小锄头） 第 2 页 共 2 页 已离职是否变化不清楚

思途旅游CMS 文档 系统升级验证流程

升级的好处

由于系统由多名程序人员协同开发，水平参差不齐难免会有BUG 甚至安全漏洞，升级

会降低相应的风险。

如果是只做了 顶部 底部 首页的简单定制，升级还是有必要的。但也要在发布包后过

段时间再升级，避免升级后bug 对站点造成影响。

系统升级包的提取方法（破解升级）

在下载传输流程中运用了三次握手确认，要破解升级限制非常困难。

但是任意一个授权用户在升级的同时都可以抽取出最新升级包的内容。只需要使用文件

校验或修改监控工具，就可以抽出升级文件。

这种软件网上随便找一下一大堆。

时时监控改动类别

文件校验改动类别

开发·运营推广总监（镀金小锄头） 第 3 页 共 3 页 已离职是否变化不清楚

思途旅游CMS 文档 系统升级验证流程

使用以上工具还是能很方便的找到，升级的文件变化。

甚至监听更新时下载创建zip 的事件用程序复制或者占用zip 防止压缩包删除，监听网

络包获取解压密码直接获取的升级包。

所以看似上面很复杂的验证流程，只能保证你没有授权id 的清况下下载不下来升级包，

但不能排除授权用户获取、抽取出升级包。

文件改动获取到升级文件的方式，只要检测文件创建又修改的时间差，去掉这些文件通

信类验证你授权ID 使用情况的的js, 或者PHP 方法。那这种所谓的授权验证就没任何意义。

其实做完全开源的CMS 系统的升级授权绑定基本没什么意义，除非核心方法加密，并

且存在很强的功能依赖。

增加付款意愿的方法

普通功能完全免费（真正的程序开源），将特殊功能交由服务器处理、提供VIP 增值服

务，等是发展付费用户可行方法，也许会向这方面发展。

开发·运营推广总监（镀金小锄头） 第 4 页 共 4 页

已离职是否变化不清楚

版权声明：本文内容由互联网用户自发贡献，本站不承担相关法律责任.如有侵权/违法内容,本站将立刻删除。