昨天刚来报到的新人，看了看以前各位前辈发的帖子，有说被盗号的，也有发现大量bug的，也有说网站被DDoS的
那我就来分析分析dcms被盗号的可能性作为新人礼物吧
首先是网站过滤了发言里面的代码，经过我的测试，网站将回复中的部分HTML代码和JavaScript代码过滤了，无法通过回复脚本来获取用户帐号信息
我也用抓取工具扫了一下网站的sitemap，没有找到sitemap.xml，然后爬虫工具爬了一下页面，没找到什么可以攻击的入口（此时网站游客数量为12）
据说网站是抗DDoS攻击的，但是从先辈们的描述看来，只有一个DDoS攻击的提醒和拒绝访问，使得DDoS目的达到，服务临时性无法访问
由此，我们可以通过HOIC（高速），Slowloris（慢速）和R.U.D.Y（慢速）来造成服务器瘫痪
造成瘫痪之后可以扫描网站漏洞，基于本站是PHP页面，有5种常用方法：Session文件漏洞、SQL注入漏洞、脚本命令执行漏洞、全局变量漏洞和文件漏洞
session漏洞即是PHP站点会留下session和cookies来方便用户访问，但是dcms已经采用了无效的cookies来拒绝登录，此方法作废
SQL注入是通过站长设置SQL数据库不全面时来通过命令获取用户帐号密码
剩下的三种因为PHP的不断更新，漏洞很少会发生
另：dcms是Apache的
综上所述，可以通过DDoS或者利用PHP漏洞或者DDoS后利用PHP漏洞来实现盗号
但是，为什么就针对你一个人盗号捏，也何必为了你一个人大动干戈，先隐藏IP然后通过如此麻烦的手段来盗号捏（PHP漏洞的发现是要靠前期长时间的搜寻的）
故dcms被盗号的可能性极低，除非这里有重要人物