织梦download.php漏洞,DedeCMS V5.7download.php url重定向漏洞解决方法

最新推荐文章于 2021-05-12 14:48:31 发布
最新推荐文章于 2021-05-12 14:48:31 发布
阅读量345 收藏 1
点赞数
文章标签: 织梦download.php漏洞

这篇文章主要为大家详细介绍了DedeCMS V5.7download.php url重定向漏洞解决方法,具有一定的参考价值,感兴趣的小伙伴们可以参考一下,有需要的朋友可以收藏方便以后借鉴。

360网站安全检测发现提示了一个漏洞——[警告]DedeCMS V5.7 download.php url重定向漏洞,该漏洞看文件也知道对应的是/plus/download.php这个文件!

那么如何修复此漏洞呢?360网站安全给出的提示是升级到最新版本。。。或许升级确实有用,但是升级可能会对网站造成各种问题!例如标签调用,后台文件修改,如果做过二次开发就更不要轻易升级!

所以只能对/plus/download.php这个文件下手了!先了解下该漏洞(360网站安全检测的漏洞说明)

发现时间:2013-08-14

漏洞类型:其他

所属建站程序:DedeCMS

所属服务器类型:通用

所属编程语言:PHP

描述:目标存在DedeCMS V5.7 download.php url重定向漏洞。

危害:攻击者可利用该漏洞进行钓鱼攻击,诱骗用户。

关于该漏洞的解决办法:

修改download.php(在网站根目录plus文件夹下),应该在第67行找到如下代码

header("location:$link");

替换为

if(stristr($link,$cfg_basehost)) { header("location:$link"); } else { header("location:$cfg_basehost"); }

这样就可以完美解决download.php 的这个漏洞了!

d75e7c8a36815a9685669a5203c12563.png

weixin_39564368
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Inet.Download.Manager.v6.38.15.2
04-17
Internet.Download.Manager.v6.38.15.2
Video download helper v7.4.0.0 谷歌浏览器版(亲测可用)
12-22
Video download helper官方版是一款能够安装到谷歌浏览器上使用支持所有chrome内核浏览器使用的视频插件工具,在任何网站中用户只需要点击Video download helper提供的下载按钮就能够将视频下载到本地计算机中,...
织梦 plus/download.php,DedeCMS5.7SP1系统/plus/download.php出现url重定向漏洞
weixin_32127359的博客
03-16 183
最近使用scanv网站体检发现有DedeCMS5.7SP1 /plus/download.php url重定向漏洞(如下图),对比官方网站最新下载包发现该漏洞未进行补丁,但官方自身网站已经补上了,而官方演示站点均未补上。漏洞原因和解决思路如下:$link = base64_decode(urldecode($link));link可以构造成任意地址,下面直接跳转了header("location...
织梦download.php漏洞,织梦DedeCMS 5.7SP1 /plus/download.php url重定向漏洞解决方法
weixin_36132709的博客
04-09 469
Dedecms 5.7SP1 /plus/download.PHP url重定向漏洞(如下图),对比官方网站最新下载包发现该漏洞未进行补丁,但官方自身网站已经补上了,而官方演示站点均未补上。解决思路如下:PHP">$link = base64_decode(urldecode($link));跳转了PHP">header("location:$link");Dedecms系统的网站。P...
dedecms 5.7sp1中/plus/download.php下载重定向漏洞
主流网络
12-27 3694
2015‎年‎12‎月‎18‎日从官网下载的DedeCMS-V5.7-UTF8-SP1中存在该漏洞。     今天在使用知道创宇的scan安全中心扫描网站时发现/plus/download.php存在url重定向漏洞(攻击者可利用该漏洞进行钓鱼等欺诈行为)。截图如下: 查看后发现在dedecms 5.7sp1的/plus/download.php中67行存在如下图中的代码,即接收参数后
dede5.7 跳转view.php,DedeCMS V5.7 download.php url重定向漏洞解决方法
weixin_42515376的博客
03-31 261
360网站安全检测发现提示了一个漏洞——[警告]DedeCMS V5.7 download.php url重定向漏洞,该漏洞看文件也知道对应的是/plus/download.php这个文件!那么如何修复此漏洞呢?360网站安全给出的提示是升级到最新版本。。。或许升级确实有用,但是升级可能会对网站造成各种问题!例如标签调用,后台文件修改,如果做过二次开发就更不要轻易升级!所以只能对/plus/dow...
PHP7 sql注入,dedecms_5.7 download.php SQL注入
weixin_39897392的博客
03-21 323
最近在看Web渗透与漏洞挖掘,这本书的编写目的感觉非常的不错,把渗透和代码审计结合在一起,但是代码审计部分感觉思路个人认为并不是很清晰,在学习dedecms v5.7 SQL注入的时候就只看懂了漏洞,思路依然感觉迷茫,在这里我重新梳理一下这个漏洞的挖掘思路。这个漏洞主要包括两方面,一是SQL注入本身,二是全局变量$GLOBALS可以被用户操控。拿到cms我们还是先浏览大致的结构,然后我们重点关注/...
mysql-5.7.40数据库linux版
01-30
mysql-5.7.40数据库linux版
tu.php 解决cms图片无法显示问题,有使用说明,小白也能看懂
03-04
tu.php 解决cms图片无法显示问题,上传至网站根目录 我的文章中有使用方法示例参考:https://blog.csdn.net/liuxianpe/article/details/129337197
Inet.Download.Manager.v6.38.18.2直装版(IDM)
01-19
Inet.Download.Manager.v6.38.18.2直装版(IDM)
download.php漏洞,织梦/plus/download.php url重定向漏洞解决方法
weixin_30651409的博客
03-11 599
使用scanv网站体检发现有DedeCMS 5.7SP1 /plus/download.php url重定向漏洞(如下图),对比官方网站最新下载包发现该漏洞未进行补丁,但官方自身网站已经补上了,而官方演示站点均未补上。参考了下网上给出的漏洞原因和解决思路如下:$link = base64_decode(urldecode($link));link可以构造成任意地址,下面直接跳转了header("l...
dedecms 5.7 download.php 代码执行漏洞,dedecms v5.7 sp2代码执行漏洞复现
weixin_39628594的博客
04-02 276
要有后台管理员账号密码,登录后台。访问/dede/tpl.php?action=upload,审查源码,获取我们的token值。然后访问:1http://127.0.0.1/dedev5.7/dede/tpl.php?filename=test.lib.php&action=savetagfile&content=%3C?php%20phpinfo();?%3E&token...
织梦实现重定向
Richard_666的博客
06-18 376
用宝塔实现重定向
织梦 plus/download.php,织梦/plus/download.php url重定向漏洞解决方法
weixin_39524439的博客
03-16 122
使用scanv网站体检发现有DedeCMS 5.7SP1 /plus/download.php url重定向漏洞(如下图),对比官方网站最新下载包发现该漏洞未进行补丁,但官方自身网站已经补上了,而官方演示站点均未补上。(此图片来源于网络,如有侵权,请联系删除! )参考了下网上给出的漏洞原因和解决思路如下:$link = base64_decode(urldecode($link));link可以构...
dedecms_5.7 download.php SQL注入
weixin_30558305的博客
03-25 608
  最近在看Web渗透与漏洞挖掘,这本书的编写目的感觉非常的不错,把渗透和代码审计结合在一起,但是代码审计部分感觉思路个人认为并不是很清晰,在学习dedecms v5.7 SQL注入的时候就只看懂了漏洞,思路依然感觉迷茫,在这里我重新梳理一下这个漏洞的挖掘思路。   这个漏洞主要包括两方面,一是SQL注入本身,二是全局变量$GLOBALS可以被用户操控。拿到cms我们还是先浏览大致的结...
织梦plus/download.php怎么添加,dedecms下载模块中怎么添加下载方式
weixin_36057489的博客
03-27 274
dedecms下载模块中怎么添加下载方式?dedecms 软件下载模块中添加下载方式为迅雷下载联盟代码,用dedecms做下载的朋友可以参考下。推荐学习:织梦cms修改 /plus/download.php 文件查找...
网站从织梦DEDECMS迁移到WordPress过程以及URL重定向方法
蚂蚁学Python
09-26 3208
广告:本人承接迁移织梦到wordpress的业务. 前一段时间自己的程序员求职网www.51projob.com被人挂了黑链,我打开首页顶部出现了大片大片的广告图片,我在后台各种地方找黑链代码,改了几个地方不行,然后把代码下载下来采用搜索等方法找,过程中竟然发现了好多个类似sys.cmd这种木马入口文件,然而黑链却一直没有被删掉。 无奈之下想采用最彻底的解决方法:将程序员求职网从织梦直接迁移到...
DedeCMS5.7SP1系统/plus/download.php出现url重定向漏洞
Feng的专栏
09-05 1650
文章转自:http://www.dedecms8.com/dedecms/use/11316.html       最近使用scanv网站体检发现有DedeCMS 5.7SP1 /plus/download.php url重定向漏洞(如下图),对比官方网站最新下载包发现该漏洞未进行补丁,但官方自身网站已经补上了,而官方演示站点均未补上。   漏洞原因和解决思路如下:
DedecmsURL重定向漏洞
05-12 560
DedecmsURL重定向漏洞 漏洞说明 $link = base64_decode(urldecode($link)); link可以构造成任意地址! header(“location:$link”); 影响所有用到dedecms系统的网站。 漏洞证明: http://www.********.com/plus/download.php?open=1&link=aHR0cDovL3d3dy5iYWlkdS5jb20%3D 其中将********中间的这些星号替换为你的网站域名,如果跳
inurl:download.csdn.net intitle:电池管理系统
最新发布
02-01
在CSDN网站上,通过搜索inurl:download.csdn.net intitle:电池管理系统可以找到与电池管理系统相关的内容。这个搜索指令中的inurl:download.csdn.net是用来限定搜索结果链接中包含download.csdn.net的页面,而...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值