Dedecms
发布时间:2022-05-06 发布网站:大佬教程 code.js-code.com
大佬教程收集整理的这篇文章主要介绍了DedeCMS 5.7SP1 /plus/download.php url重定向漏,大佬教程大佬觉得挺不错的,现在分享给大家,也给大家做个参考。
概述
最近使用scanv网站体检发现有织梦dedecms5.7SP1 /plus/download.
php url重定向漏洞(如下图),对比官方织梦dedecms网站最新下载包发现该漏洞未进行补丁,但官方自身网站已经补上了,而官方演示站点均未补上。 参
考了下网上给出的漏洞原因和解决思路如下: $
$link = base64_decode(urldecode($link)
);
漏洞证明:
http://www.
**.com/plus/download.
PHP?open=1&link=aHR0cDovL3d3dy5iYWlkdS5jb20%3D
其中将
**号更改为
你的网站域名,如果
跳转到其它网站就说明存在漏洞。
修复方案:对link参数做判断,对不是同域名的
跳转给予
提示
替换为
这样即可将非本站域名
跳转到网站
首页,以免出现钓鱼欺诈行为。而scanv也不会再
提示低危风险漏洞了。
最近使用scanv网站体检发现有
Dedecms 5.7SP1 /plus/download.
PHP url
重定向漏洞(如下图),对比官方网站最新下载包发现该漏洞未进行补丁,但官方自身网站已经补上了,而官方演示
站点均未补上。
$link = base64_decode(urldecode($link)
);
漏洞证明:
http://www.
**.com/plus/download.
PHP?open=1&link=aHR0cDovL3d3dy5iYWlkdS5jb20%3D
其中将
**号更改为
你的网站域名,如果
跳转到其它网站就说明存在漏洞。
修复方案:对link参数做判断,对不是同域名的
跳转给予
提示
替换为
大佬总结
以上是大佬教程为你收集整理的DedeCMS 5.7SP1 /plus/download.php url重定向漏全部内容,希望文章能够帮你解决DedeCMS 5.7SP1 /plus/download.php url重定向漏所遇到的程序开发问题。
如果觉得大佬教程网站内容还不错,欢迎将大佬教程推荐给程序员好友。
本图文内容来源于网友网络收集整理提供,作为学习参考使用,版权属于原作者。
如您有任何意见或建议可联系处理。小编QQ:384754419,请注明来意。