DedeCMS V5.7download.php url重定向漏洞解决方法

360网站安全检测发现提示了一个漏洞——[警告]DedeCMS V5.7 download.php url重定向漏洞，该漏洞看文件也知道对应的是/plus/download.php这个文件！

那么如何修复此漏洞呢？360网站安全给出的提示是升级到最新版本。。。或许升级确实有用，但是升级可能会对网站造成各种问题！例如标签调用，后台文件修改，如果做过二次开发就更不要轻易升级！

所以只能对/plus/download.php这个文件下手了！先了解下该漏洞（360网站安全检测的漏洞说明）

发现时间：2013-08-14

漏洞类型：其他

所属建站程序：DedeCMS

所属服务器类型：通用

所属编程语言：PHP

描述：目标存在DedeCMS V5.7 download.php url重定向漏洞。

危害：攻击者可利用该漏洞进行钓鱼攻击，诱骗用户。

关于该漏洞的解决办法：

修改download.php（在网站根目录plus文件夹下），应该在第67行找到如下代码

header("location:$link");

替换为

if(stristr($link,$cfg_basehost)) { header("location:$link"); } else { header("location:$cfg_basehost"); }

这样就可以完美解决download.php 的这个漏洞了！

原文地址:http://blog.sina.com.cn/s/blog_6711c3e70102xbtw.html