本日,織夢(mèng)無憂在查看一個(gè)新做站點(diǎn)的360收錄情況時(shí),發(fā)現(xiàn)360這兩天貌似升級(jí)過了,網(wǎng)站的安全信息居然在自動(dòng)更新。
原諒我說這話,事實(shí)上,雖然以前有站點(diǎn)設(shè)置過360安全的自動(dòng)檢查,但好像還沒見過哪個(gè)站點(diǎn)有自動(dòng)更新安全信息的。以至于,一時(shí)之間,我還驚詫了下。不過,當(dāng)我看到安全信息提示,開始感覺蛋疼了,存在2個(gè)警告漏洞。
點(diǎn)開看了下漏洞信息,一條是DedeCMS V5.7 download.php url重定向漏洞,另一條是Swfupload.swf跨站腳本攻擊漏洞。
好吧,漏洞信息,怎么辦?修復(fù)唄。以下,織夢(mèng)無憂主要講講DedeCMS V5.7 download.php url重定向漏洞的修復(fù)。
事實(shí)上,360網(wǎng)站安全已經(jīng)給出該漏洞的解決方案了。那就是直接講程序升級(jí)到最新版本,不過,對(duì)于升級(jí),織夢(mèng)無憂是抱著一定顧慮的。為什么呢?因?yàn)槊看蜠ede程序的升級(jí),都可能會(huì)對(duì)網(wǎng)站造成影響!例如標(biāo)簽調(diào)用,后臺(tái)文件修改等,特別是手上的這個(gè)Dede程序做過二次開發(fā)修改了。
不升級(jí),那還有啥好辦法?
既然,360安全提示的是download.php這個(gè)文件,那我們直接對(duì)這個(gè)文件進(jìn)行修改,修復(fù)不就好了?
參照了網(wǎng)上的幾段代碼信息,發(fā)現(xiàn)代碼修改起來也很簡單。
打開download.php(在根目錄下的plus文件夾中),在文件第89行找到代碼header("location:$link");
將此代碼替換為
if(stristr($link,$cfg_basehost)) { header("location:$link"); } else { header("location:$cfg_basehost"); }
修改保存后,重新檢測(cè)已顯示漏洞修復(fù)了。
織夢(mèng)無憂每文一結(jié)
提示,download.php代碼中,header("location:$link");的位置并不都固定在89行,不同文件有所差異,大家可能需要耐心找一下。
版權(quán)聲明: 本站資源均來自互聯(lián)網(wǎng)或會(huì)員發(fā)布,如果侵犯了您的權(quán)益請(qǐng)與我們聯(lián)系,我們將在24小時(shí)內(nèi)刪除!謝謝!
轉(zhuǎn)載請(qǐng)注明: 360檢測(cè)Dedecms重定向漏洞的解決方案