ECShop漏洞分析 SQL注射漏洞产生的原因
影响版本:
ECSHOP 2.7.2 Release 0604
程序介绍:
ECSHOP是一款开源免费的网上商店系统。由专业的开发团队升级维护,为您提供及时高效的技术支持,您还可以根据自己的商务特征对ECSHOP进行定制,增加自己商城的特色功能。
漏洞分析:
在include_libcommon.php中存在如下函数
其中$id没有经过严格过滤就直接进入了SQL查询,导致一个SQL注射漏洞。
在系统的lib_order.php中存在一个该函数的调用
在flow.php中存在可控的输入源
$package->package_id来源于输入
解决方案:
厂商补丁
ECSHOP
----------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.ecshop.com
信息来源:
来源: WooYun
discuz安全提问md5加密过程是怎么样的?
今天朋友问我discuz安全提问答案能不能饶过去。或者破解,我以前就注意过个密码,只记得很短,以为是substr取的MD5,最后看了半天的源码,确实是MD5加密的,不过,加密的过程有点晕无安全提问
详情2018-02-04 10:48:56责编:llp 来源:驱动管家
office 2010的技术预览版被泄露且可能受到恶意攻击
微软警告广大用户,在从第三方网站下载泄露的Office 2010技术预览版时有可能会受到恶意代码攻击,这一情况和之前的Windows 7 RC版本泄露相似,两者都被恶意代码编写者利用并作为媒介传播恶意软件。微软Office
详情2018-01-18 18:05:40责编:llp 来源:驱动管家
三星手机锁屏会有泄露信息的风险?怎么回事?
我用的是三星i9220 android系统是2 3 5这个信息泄漏的前提条件是手机开放了屏幕解锁设置功能,且绑定了google帐户或者设置密码保护问题。一般默认情况下手机锁屏后需要输入解锁密码或者图案才能进入手机下面是我
详情2018-01-26 09:32:14责编:llp 来源:驱动管家
怎么获取webshell?得到webshell获取网站控制权的十大方法
黑客在入侵企业网站时,通常要通过各种方式获取webshell从而获得企业网站的控制权,然后方便进行之后的入侵行为。本篇文章将如何获取webshell总结成为了十种方法,希望广大的企业网络管理员能够通过了解获取websh
详情2018-01-17 15:24:21责编:llp 来源:驱动管家
mcafee防病毒软件怎么保护网站服务器?安全的web目录怎么设置?
本文主要拿ASP文件做演示,大家可以修改E: wwwroot** asp为我们所希望限制的文件格式
详情2018-01-18 19:33:52责编:llp 来源:驱动管家
arp病毒怎么查找?如何查杀arp病毒?
一、首先诊断是否为ARP病毒攻击1、当发现上网明显变慢,或者突然掉线时,我们可以用arp-命令来检查ARP表:(点击“开始”按钮-选择“运行”-输入“cmd”点击 "确定 "按钮,在窗口中输入“arp-a”命令)如果发现网关
详情2018-01-09 10:09:00责编:llp 来源:驱动管家
工业控制系统有哪些潜在的风险?工业控制系统的安全防护设计
2010年10月发生在伊朗核电站的 "震网 "(Stuxnet)病毒,为工业生产控制系统安全敲响了警钟。现在,国内外生产企业都把工业控制系统安全防护建设提上了日程。本文在对工业控制系统特点和面临的安全风险进行分析的基
详情2018-01-24 17:20:14责编:llp 来源:驱动管家
u盘移动硬盘加密工具绿色版有哪些优势?
近日闲来无事,顺手翻看了2006年4月份的《破解“移动加密”》一文,该文破解的加密软件与我用的极为相似,引起了我的极大兴趣。看了一遍文章,又翻出光盘,将文中所涉及的两个软件全找出来,正是我所用的U盘移动
详情2018-02-07 17:15:44责编:llp 来源:驱动管家
解决sql注入攻击问题的方法 如何保护隐蔽域信息?
SQL注入攻击的危害性很大。在讲解其防止办法之前,数据库管理员有必要先了解一下其攻击的原理。这有利于管理员采取有针对性的防治措施。解决方案:过滤URL中的一些特殊字符,动态SQL语句使用PrepareStatement 注
详情2018-03-05 16:51:28责编:llp 来源:驱动管家
efs加密是什么?怎么查看系统中其他人使用efs加密过的文件?
EFS(Encrypting File System,加密文件系统)加密是一种基于NTFS磁盘技术的加密技术。EFS加密基于公钥策略。在使用EFS加密一个文件或文件夹时,系统首先会生成一个由伪随机数组成的FEK(File Encryption Key,
详情2018-02-11 20:25:52责编:llp 来源:驱动管家
- 哪些系统可以用于手机定位?这十个系统可以用于手机定位
- 2招轻松搞定因没有数字签名装不了Win10驱动
- won8系统的鼠标操作有哪些变化?win8鼠标操作的方法
- 一起作业怎么刷银币 一起作业相关问题解答
- 什么是全息通用光盘?全息通用光盘有哪些优点
- 电脑硬件知识:教你看懂PC电源铭牌
- Google I/O 2018开发者大会将于5月举行
- 贾跃亭先生所有股票质押式回购交易已触及协议约定的平仓线
- Win7系统下的taskmgr.exe是什么进程?能不能关闭
- 去除xp桌面图标蓝底的方法有哪些?
- 坚果手机发布会讲了什么?读完这篇文章不用看视频都知道了
- 小辣椒x5和小辣椒x3区别 小辣椒x5和小辣椒x3有哪些不同?
- 系统程序无响应不能关闭怎么办?系统程序无响应解决方法
- 电脑CPU温度过高导致经常死机 如何解决
- webshell提权拒绝访问怎么办?不知道cmd密码如何登录?
- 罗信网络建站系统数据备份 shopwind网店系统上传漏洞
- win7部分U盘不识别并提示驱动错误的解决方法
- ppt转换成pdf转换器的方法是什么?ppt转换成pdf转换器步骤详解
- 在win8电脑上教你这样快速启动应用程序
- i9-7900X性能怎么样 10核20线程i9-7900X评测
