思途旅游CMS 文檔 系統(tǒng)升級(jí)驗(yàn)證流程思途旅游CM

思途旅游CMS 文檔 系統(tǒng)升級(jí)驗(yàn)證流程

思途旅游CMS 系統(tǒng)升級(jí)驗(yàn)證流程

——及常規(guī)的抽包破解升級(jí)方法

由于系統(tǒng)開源，老板又想收費(fèi)，所以在設(shè)計(jì)的時(shí)候考慮授權(quán)驗(yàn)證升級(jí)的方式，未授權(quán)的

系統(tǒng)請(qǐng)求升級(jí)將不會(huì)響應(yīng)。（流程圖在第二頁(yè)）

授權(quán)機(jī)制：

付費(fèi)后：授權(quán)ID 域名綁定（根據(jù)域名確定身份，授權(quán)ID 用于跟蹤程序擴(kuò)散傳播）

升級(jí)方式：

客戶端（網(wǎng)站后臺(tái)檢測(cè)升級(jí)操作觸發(fā)）向服務(wù)器（CMS 升級(jí)服務(wù)器）發(fā)起升級(jí)，服務(wù)

器根據(jù)客戶端版本，一個(gè)升級(jí)一個(gè)逐步升級(jí)，（返回相應(yīng)的壓縮包zip 格式) ，一個(gè)版本升級(jí)

成功再進(jìn)行下一個(gè)版本升級(jí)，直到升級(jí)到最新。任何一個(gè)版本失敗都會(huì)停止升級(jí)，你可以立

即聯(lián)系技術(shù)人員，要求人工處理。

如，當(dāng)前版本3.0服務(wù)器版本5.1。升級(jí)時(shí)先下3.1，成功后4.1，然后成功后再升級(jí)5.1，

有多少版本就依次升級(jí)多少次。

升級(jí)都是先解壓壓縮包（現(xiàn)在是直接根據(jù)后臺(tái)根目錄解壓，所以每次升級(jí)都需要把后臺(tái)

目錄改成系統(tǒng)原命名文件夾。），解壓后執(zhí)行PHP 更新數(shù)據(jù)庫(kù)。任何步驟出錯(cuò)有可以 記錄日

志方便排除問題。

服務(wù)器文件校驗(yàn)升級(jí)

其實(shí)常規(guī)的CMS 系統(tǒng)做文件校驗(yàn)，升級(jí)的方式非常好。原理是服務(wù)器將常規(guī)文件生成

一個(gè)文件校驗(yàn)特征表（自定義模板相關(guān)文件、用戶上傳文件相關(guān)文件都不做特征驗(yàn)證）。客

戶端在請(qǐng)求升級(jí)時(shí)，將本地文件特征與服務(wù)器校驗(yàn)，進(jìn)行下載。

思途不這樣做的原因：

1、想在升級(jí)后的文件內(nèi)插入授權(quán)ID 跟蹤js 代碼，一驗(yàn)證就會(huì)暴露出來。

2、文件校驗(yàn)主要檢測(cè)網(wǎng)站掛馬等，文件受損的情況，而思途允許進(jìn)行二次開發(fā)，開發(fā)

者經(jīng)常篡改原類，升級(jí)會(huì)導(dǎo)致二次開發(fā)失效。

可以不升級(jí)

其實(shí)一但涉及二次開發(fā)（即使你完全按照二次開發(fā)原則做），CMS 就沒必要升級(jí)。

原因:

1、二次開發(fā)后模板風(fēng)格會(huì)發(fā)生很大變化，甚至?xí)苯哟鄹脑嫉南到y(tǒng)類或者方法，升

級(jí)會(huì)造成，原有二次開發(fā)的模板或者功能失效。

2、即使你按規(guī)范做二次開發(fā)，也會(huì)造成，更新后的新增功能或者模板在展現(xiàn)上與你自

己開發(fā)定義的風(fēng)格不同，完全牛頭馬嘴，還得再二次開發(fā)這些新增的功能模塊的顯示風(fēng)

格（給二次開發(fā)人員提供持續(xù)改版機(jī)會(huì)）。

開發(fā)·運(yùn)營(yíng)推廣總監(jiān)（鍍金小鋤頭） 第 1 頁(yè) 共 1 頁(yè) 已離職是否變化不清楚

思途旅游CMS 文檔 系統(tǒng)升級(jí)驗(yàn)證流程

開發(fā)·運(yùn)營(yíng)推廣總監(jiān)（鍍金小鋤頭） 第 2 頁(yè) 共 2 頁(yè) 已離職是否變化不清楚

思途旅游CMS 文檔 系統(tǒng)升級(jí)驗(yàn)證流程

升級(jí)的好處

由于系統(tǒng)由多名程序人員協(xié)同開發(fā)，水平參差不齊難免會(huì)有BUG 甚至安全漏洞，升級(jí)

會(huì)降低相應(yīng)的風(fēng)險(xiǎn)。

如果是只做了 頂部 底部 首頁(yè)的簡(jiǎn)單定制，升級(jí)還是有必要的。但也要在發(fā)布包后過

段時(shí)間再升級(jí)，避免升級(jí)后bug 對(duì)站點(diǎn)造成影響。

系統(tǒng)升級(jí)包的提取方法（破解升級(jí)）

在下載傳輸流程中運(yùn)用了三次握手確認(rèn)，要破解升級(jí)限制非常困難。

但是任意一個(gè)授權(quán)用戶在升級(jí)的同時(shí)都可以抽取出最新升級(jí)包的內(nèi)容。只需要使用文件

校驗(yàn)或修改監(jiān)控工具，就可以抽出升級(jí)文件。

這種軟件網(wǎng)上隨便找一下一大堆。

時(shí)時(shí)監(jiān)控改動(dòng)類別

文件校驗(yàn)改動(dòng)類別

開發(fā)·運(yùn)營(yíng)推廣總監(jiān)（鍍金小鋤頭） 第 3 頁(yè) 共 3 頁(yè) 已離職是否變化不清楚

思途旅游CMS 文檔 系統(tǒng)升級(jí)驗(yàn)證流程

使用以上工具還是能很方便的找到，升級(jí)的文件變化。

甚至監(jiān)聽更新時(shí)下載創(chuàng)建zip 的事件用程序復(fù)制或者占用zip 防止壓縮包刪除，監(jiān)聽網(wǎng)

絡(luò)包獲取解壓密碼直接獲取的升級(jí)包。

所以看似上面很復(fù)雜的驗(yàn)證流程，只能保證你沒有授權(quán)id 的清況下下載不下來升級(jí)包，

但不能排除授權(quán)用戶獲取、抽取出升級(jí)包。

文件改動(dòng)獲取到升級(jí)文件的方式，只要檢測(cè)文件創(chuàng)建又修改的時(shí)間差，去掉這些文件通

信類驗(yàn)證你授權(quán)ID 使用情況的的js, 或者PHP 方法。那這種所謂的授權(quán)驗(yàn)證就沒任何意義。

其實(shí)做完全開源的CMS 系統(tǒng)的升級(jí)授權(quán)綁定基本沒什么意義，除非核心方法加密，并

且存在很強(qiáng)的功能依賴。

增加付款意愿的方法

普通功能完全免費(fèi)（真正的程序開源），將特殊功能交由服務(wù)器處理、提供VIP 增值服

務(wù)，等是發(fā)展付費(fèi)用戶可行方法，也許會(huì)向這方面發(fā)展。

開發(fā)·運(yùn)營(yíng)推廣總監(jiān)（鍍金小鋤頭） 第 4 頁(yè) 共 4 頁(yè)

已離職是否變化不清楚