360網(wǎng)站安全檢測(cè)發(fā)現(xiàn)提示了一個(gè)漏洞——[警告]DedeCMS V5.7 download.php url重定向漏洞，該漏洞看文件也知道對(duì)應(yīng)的是/plus/download.php這個(gè)文件！

那么如何修復(fù)此漏洞呢？360網(wǎng)站安全給出的提示是升級(jí)到最新版本。。。或許升級(jí)確實(shí)有用，但是升級(jí)可能會(huì)對(duì)網(wǎng)站造成各種問題！例如標(biāo)簽調(diào)用，后臺(tái)文件修改，如果做過二次開發(fā)就更不要輕易升級(jí)！

所以只能對(duì)/plus/download.php這個(gè)文件下手了！先了解下該漏洞（360網(wǎng)站安全檢測(cè)的漏洞說明）

發(fā)現(xiàn)時(shí)間：2013-08-14

漏洞類型：其他

所屬建站程序：DedeCMS

所屬服務(wù)器類型：通用

所屬編程語(yǔ)言：PHP

描述：目標(biāo)存在DedeCMS V5.7 download.php url重定向漏洞。

危害：攻擊者可利用該漏洞進(jìn)行釣魚攻擊，誘騙用戶。

關(guān)于該漏洞的解決辦法：

修改download.php（在網(wǎng)站根目錄plus文件夾下），應(yīng)該在第67行找到如下代碼

header("location:$link");

替換為

if(stristr($link,$cfg_basehost)) { header("location:$link"); } else { header("location:$cfg_basehost"); }

這樣就可以完美解決download.php 的這個(gè)漏洞了！

原文地址:http://blog.sina.com.cn/s/blog_6711c3e70102xbtw.html