ecshop存在一个盲注漏洞,问题存在于/api/client/api.php文件中,提交特制的恶意POST请求可进行SQL注入攻击,可获得敏感信息或操作数据库;跨站攻击; ECSHOP的配送地址页面网页没有验证地区参数的有效性,存在sql注入漏洞;ecshop的后台编辑文件/admin/affiliate_ck.php中,对输入参数auid未进行正确类型转义,导致整型注入的发生;ecshop的后台编辑文件/admin/shophelp.php中 shopinfo.php ,对输入参数$_POST['id']未进行正确类型转义,导致整型注入的发生;ecshop的/admin/comment_manage.php中,对输入参数sort_by、sort_order未进行严格过滤,导致SQL注入;ECShop存在一个盲注漏洞,问题存在于/api/client/api.php文件中,提交特制的恶意POST请求可进行SQL注入攻击,可获得敏感信息或操作数据库; ECSHOP支付插件存在SQL注入漏洞,此漏洞存在于/includes/modules/payment/alipay.php文件中,该文件是ECshop的支付宝插件。由于ECShop使用了str_replace函数做字符串替换,黑客可绕过单引号限制构造SQL注入语句。只要开启支付宝支付插件就能利用该漏洞获取网站数据,且不需要注册登入;ecshop的/includes/lib_insert.php文件中,对输入参数未进行正确类型转义,导致整型注入的发生。
2019-12-21 20:43:54
3KB
1
ECShop系统是一套免费开源的网上商店软件,无论在稳定性、代码优化、运行效率、负载能力、安全等级、功能可操控性和权限严密性等方面都居国内外同类产品领先地位。
2019-12-21 20:34:58
395KB
1
ecshop4.0 2018年6月最新版本,ecshop4.0 2018年6月最新版本
ECshop4.0官方最新版源码 多级返佣 升级多级返佣功能,支持二维码、海报等推广方式,无限裂变发展分销商 语言版本升级 全面支持PHP7.2,性能提升一倍,支持更多主机环境部署 全新视觉交互 管理端视觉交互全面焕新,UI效果简洁美观,操作体验完美升级 移动H5框架升级 基于VUE.js全面换代,更加灵活开放 支持https协议 从技术底层重构,大幅降低被攻击风险,并被搜索引擎优先收入
2019-12-21 20:19:19
38.65MB
1