點開看了下漏洞信息,一條是DedeCMS V5.7 download.php url重定向漏洞,另一條是Swfupload.swf跨站腳本攻擊漏洞。
事實上,360網(wǎng)站安全已經(jīng)給出該漏洞的解決方案了。那就是直接講程序升級到最新版本,不過,本文引用另一種解決方法。
打開download.php(在根目錄下的plus文件夾中),在文件第89行找到代碼header("location:$link");
將此代碼替換為
if(stristr($link,$cfg_basehost)) { header("location:$link"); } else { header("location:$cfg_basehost"); }
修改保存后,重新檢測已顯示漏洞修復(fù)了。
提示,download.php代碼中,header("location:$link");的位置并不都固定在89行,不同文件有所差異,大家可能需要耐心找一下。