360检测Dedecms重定向漏洞的解决方案

最新推荐文章于 2021-10-10 20:29:47 发布
最新推荐文章于 2021-10-10 20:29:47 发布
阅读量308 收藏
点赞数
分类专栏: 织梦dede模板修改 文章标签: 解决方案 漏洞 360 安全 织梦

360检测Dedecms重定向漏洞的解决方案

本日,织梦58在查看一个新做站点的360收录情况时,发现360这两天貌似升级过了,网站的安全信息居然在自动更新。

原谅我说这话,事实上,虽然以前有站点设置过360安全的自动检查,但好像还没见过哪个站点有自动更新安全信息的。以至于,一时之间,我还惊诧了下。不过,当我看到安全信息提示,开始感觉蛋疼了,存在2个警告漏洞。

360检测提示新站上存在2个警告漏洞

点开看了下漏洞信息,一条是DedeCMS V5.7 download.php url重定向漏洞,另一条是Swfupload.swf跨站脚本攻击漏洞。

DedeCMS V5.7 download.php url重定向漏洞

好吧,漏洞信息,怎么办?修复呗。以下,织梦58主要讲讲DedeCMS V5.7 download.php url重定向漏洞的修复。

事实上,360网站安全已经给出该漏洞的解决方案了。那就是直接讲程序升级到最新版本,不过,对于升级,织梦58是抱着一定顾虑的。为什么呢?因为每次Dede程序的升级,都可能会对网站造成影响!例如标签调用,后台文件修改等,特别是手上的这个Dede程序做过二次开发修改了。

不升级,那还有啥好办法?

既然,360安全提示的是download.php这个文件,那我们直接对这个文件进行修改,修复不就好了?

参照了网上的几段代码信息,发现代码修改起来也很简单。

打开download.php(在根目录下的plus文件夹中),在文件第89行找到代码header("location:$link");

织梦download.php重定向漏洞代码修复将此代码替换为
if(stristr($link,$cfg_basehost)) { header("location:$link"); } else { header("location:$cfg_basehost"); }
修改保存后,重新检测已显示漏洞修复了。

织梦58每文一结

提示,download.php代码中,header("location:$link");的位置并不都固定在89行,不同文件有所差异,大家可能需要耐心找一下。


360检测Dedecms重定向漏洞的解决方案


360检测Dedecms重定向漏洞的解决方案

dedecms 开放重定向漏洞(附脚本)(CVE-2024-57241)
iSee857的博客
02-13 596
DedeCms 5.71sp1及之前版本中存在URL重定向漏洞。在该Web应用中,由于逻辑错误未能正确判断GET请求,导致发生URL重定向
安全漏洞DedeCMS-5.8.1 SSTI模板注入导致RCE
HBohan的博客
11-20 2128
漏洞类型 SSTI RCE 利用条件 影响范围应用 漏洞概述 2021年9月30日,国外安全研究人员Steven Seeley披露了最新的DedeCMS版本中存在的一处SQL注入漏洞以及一处SSTI导致的RCE漏洞,由于SQL注入漏洞利用条件极为苛刻,故这里只对该SSTI注入漏洞进行简要分析复现 漏环境搭建 【技术学习资料】 漏洞复现 这里使用phpstudy来搭建环境 网站前台:http://192.168.59.1/index.php?upcache=1 网站后台: http://192.
safe6出品 dedecms漏洞辅助检测工具
safe6
07-12 6266
注意我的说的漏洞辅助检测工具,并不是真的漏洞检测。目前支持dedecms 5.7、5.6、5.5、5.1、5.3、5.0功能:很简单就是dedecms各个版本出现过漏洞的页面,进行批量检测文件是否存在而已。并不是检测poc!!!!使用:需要jdk,需要配置java环境需要其他功能,可以联系我添加。软件仅供技术交流,请勿用于商业及非法用途,如产生法律纠纷与本人无关! www.safe6.c链接:ht...
dedecms漏洞
https://www.cnblogs.com/zpchcbd/
05-10 2906
5.7 sp1 爆数据库 /plus/search.php?keyword=xxx&arrs1[]=99&arrs1[]=102&arrs1[]=103&arrs1[]=95&arrs1[]=100&arrs1[]=102&arrs1[]=95&arrs1[]=115&arrs1[]=116&arrs1[]=121&a...
dedecms 漏洞_dedescan一款漏洞扫描器
weixin_39661780的博客
11-29 1911
dedescan是一款可以扫描所有已公开的dedecms漏洞的扫描器。 ... ... ... ... ...
网站安全检测漏洞检测dedecms本地文件包含
z . s . j
05-06 2691
可以在“站长工具”或“360网站安全检测”进行网站安全检测 以下是个人遇到的网站安全检测问题: 这是修改后的检测返回的信息 之前是存在高危漏洞1个页面 【高危】dedecms本地文件包含 找到Include/payment/alipay.php        Include/payment/yeepay.php 从下载补丁的地址下载,按照你安装
DedecmsURL重定向漏洞
晚风不及你
09-11 1973
DedecmsURL重定向漏洞 漏洞说明 $link = base64_decode(urldecode($link)); link可以构造成任意地址! header(“location:$link”); 影响所有用到dedecms系统的网站。 漏洞证明: http://www.********.com/plus/download.php?open=1&link=aHR0cDovL3d3dy5iYWlkdS5jb20%3D 其中将********中间的这些星号替换为你的网站域名,如果跳转
dedecms批量漏洞扫描.zip_dedecms_dedecms 扫描器_dedecms漏洞_dedecms路径扫描_批量扫描
07-13
dedecms批量漏洞扫描,大家可以自己试试效果
DedeCMS 存储型xss漏洞1
08-03
DedeCMS 存储型 XSS 漏洞1】详解 DedeCMS 是一款广泛使用的基于PHP的开源网站管理系统,其特色在于提供了一个简洁易用的后台管理界面,帮助企业或个人快速构建网站。然而,如同任何软件一样,DedeCMS 也存在安全...
wLHK-Dedecms漏洞整理.pdf
09-20
wLHK-Dedecms漏洞整理 从给定的文件信息中,我们可以看到该文件是关于Dedecms漏洞的整理报告,包含了多个漏洞的详情,包括SQL注入漏洞、XSS漏洞等。下面我们将对这些漏洞进行详细的分析和解释。 首先,我们来看第...
dedecms v5.8 未授权RCE 漏洞
白昼小丑的博客
10-10 4247
在这篇博文中,我将分享对 Dedecms(或翻译成英文的“Chasing a Dream”CMS)的技术评论,包括它的攻击面以及它与其他应用程序的不同之处。最后,我将结束一个影响v5.8.1 预发布的预认证远程代码执行漏洞。这是一款有趣的软件,因为它自最初发布以来已有 14 年的历史,而且 PHP 多年来发生了很大变化。 对于网上搜索“什么是中国最大的CMS”很快发现,多源的状态是DEDECMS是最流行的。然而,这些来源几乎都有一个共同点:它们都是旧的。 所以,我决定做一个粗略的搜索: 该产品..
dedecms v5.7 sp2代码执行漏洞复现
粉枪
05-02 6397
环境搭建 DeDeCMS官网:http://www.dedecms.com 网站源码版本:DedeCMS V5.7 SP2正式版 程序源码下载:http://www.dedecms.com/products/dedecms/downloads/ 默认后台地址:http://127.0.0.1/dede 默认账号密码:admin admin 演示 本地搭建站点 域名后面加上个/dede访问后台...
dedecms最新版本修改任意管理员漏洞+getshell+exp
weixin_30439067的博客
08-03 4259
漏洞无视gpc转义,过80sec注入防御。 补充下,不用担心后台找不到。这只是一个demo,都能修改任意数据库了,还怕拿不到SHELL? 起因是全局变量$GLOBALS可以被任意修改,随便看了下,漏洞一堆,我只找了一处。 include/dedesql.class.php if(isset($GLOBALS['arrs1'])) { $v1 = $v2 = ''; ...
DEDECMS v5.6漏洞复现
_Ralph的博客
01-16 8213
内容管理系统(dedecms) 以简单、实用、开源而闻名,是国内最知名的PHP开源网站管理系统,也是使用用户最多的PHP类cms系统,在经历多年的发展,目前的版本无论在功能,还是在易用性方面,都有了长足的发展和进步,DedeCms免费版的主要目标用户锁定在个人站长,功能更专注于个人网站或中小型门户的构建,当然也不乏有企业用户和学校等在使用该系统。 闲来无事,复现一下dedecms v5.6版
[分析]-DedeCMS全版本通杀SQL注入漏洞
Nixawk
05-04 5838
mysql> SELECT s.*,t.* FROM -> `dede_member_stow` AS s LEFT JOIN -> `dede_member_stowtype` AS t ON s.type=t.stowname -> WHERE s.aid='1' -> AND s.type='\\' or mid=@`\\'` /*!50000unio
guestbook.php漏洞,DEDECMS任意文件上传漏洞与注入漏洞修复方法
weixin_29686935的博客
03-12 865
修复任意文件上传漏洞与注入漏洞。任意文件上传漏洞修复包含一个文件/include/dialog/select_soft_post.php;SQL注入漏洞包含5个文件/include/filter.inc.php /member/mtypes.php /member/pm.php /plus/guestbook/edit.inc.php /plus/search.php。修复方法都是...
DEDECMS去除一切自带后门和破绽的办法
PHP错误汇总
09-26 832
DEDECMS去除一切自带后门和破绽的办法 DEDECMS去除所有自带后门和漏洞的方法(DEDE安装之后需要做的事) Dedecms安全步骤,安装之后的操作 1 将文件夹dede改名为其他,比如 /dede58.com/ 2 搜索ad.dedecms.com,文件D:\WebSite\fukedh.com\www\gzadmin\templets\login_ad.htm 删除如下这一段: <!--<script type="text/javascript" src="<?ph
dedecms v5.7(build 20150618)的12个漏洞
热门推荐
ccfxue的博客
06-28 1万+
一打开阿里云后台,发现了12个加急处理的漏洞,还没来得及了解阿里云的漏洞检测原理,直接开始着手修复漏洞searching on baidu... ...  : )1.dedecms支付模块注入漏洞 描述:DEDECMS支付插件存在SQL注入漏洞,此漏洞存在于/include/payment/alipay.php文件中,对输入参数$_GET['out_trade_no']未进行严格过滤。解决:找到 ...
购物车模块优化:DedeCMS中心化解决方案
- DedeCMS是一个开源的网站内容管理系统,它提供了一套完整的网站开发解决方案,包括网站前台展示与后台管理系统。 - DedeCMS采用MVC(Model-View-Controller)设计模式,将程序分为模型、视图和控制器三个部分,...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值