首页建站经验 修复ecshop注入XSS三个漏洞方法

修复ecshop注入XSS三个漏洞方法

admin admin 2019-11-02 15:20:17 阅读() 评论()

Ecshop pages.lbi.php Xss漏洞,search.php注入漏洞,Ecshop version XSS漏洞1.Ecshop pages.lbi.php Xss漏洞先来分析这个漏洞的原因:直接访问temp/compiled/pages.lbi.php时,…

Ecshop pages.lbi.php Xss漏洞,search.php注入漏洞,Ecshop version XSS漏洞

1.Ecshop pages.lbi.php Xss漏洞

先来分析这个漏洞的原因:

直接访问temp/compiled/pages.lbi.php时,浏览源文件,会发现如下代码:

显然这个form是不完全的。当构造这样的url访问时,会造成在客户端执行代码:

temp/compiled/pages.lbi.php/”

很显然,这个漏洞的原理就是闭合了这个form再在客户端执行javascript.

然后分析出现不闭合form的原因,打开page.lbi.php文件,可以看到如下代码

” method=”get”> <?php if ($this->_var[‘pager’][‘styleid’] == 0): ?>

这里执行$this的时候就出现错误了,,因为没有进行template的初始化。

既然找到原因了,下面给出解决办法:

打开page.lbi文件,在第二行插入如下代码:

<?php if (!defined(‘IN_ECS’)) { die(‘Hacking attempt’); } ?>

2.search.php注入漏洞

search.php

大概300 源

if (is_not_null($val) )

修改为

if (is_not_null($val) && is_numeric($key))

就可以了

3.Ecshop version XSS漏洞

打开/admin/receive.php文件中,搜索如下代码:

$version=$_GET[‘version’];

修改为如下代码:

$version=htmlspecialchars($_GET[‘version’]);

以上就是本文章的内容,希望对大家有所帮助

本文来自网络,不代表1号站长-站长学院|资讯交流平台立场。转载请注明出处: https://www.1cn.cc/jianzhan/jingyan/19083.html
打赏
标签:
上一篇WordPress中转义HTML与过滤链接的相关PHP函数使用解析
下一篇 WordPress中用于获取搜索表单的PHP函数使用解析
admin

作者: admin

这里可以再内容模板定义一些文字和说明,也可以调用对应作者的简介!或者做一些网站的描述之类的文字或者HTML!

为您推荐

修复ECSHOP后台商品品牌搜索0记录的BUG

修复ECSHOP后台商品品牌搜索0记录的BUG

修复ecshop商品重量BUG小数位增至五位

修复ecshop商品重量BUG小数位增至五位

评论列表()

    联系我们

    联系我们

    0898-88888888

    在线咨询: QQ交谈

    邮箱: email@wangzhan.com

    工作时间:周一至周五,9:00-17:30,节假日休息

    关注微信
    微信扫一扫关注我们

    微信扫一扫关注我们

    关注微博
    返回顶部