展开

关键词

ECshop4.0 漏洞利用及如何修复网站漏洞

ecshop目前最新版本为4.0,是国内开的一套商城系统,很多外贸公司,以及电商平台都在使用,正因为使用的人数较多,很多攻击者都在挖掘该网站的漏洞,就在最近ecshop被爆出高危漏洞,该漏洞利用跨站伪造函数 ecshop 漏洞详情 该网站漏洞发生的根本原因是根目录下的user.php文件,在第315-365行里的代里,该代主要是处理用户注册,用户登录的一些功能请求处理,与数据库进行通信查询用户的账号密是否正确 但是ecshop官方疏忽了JS跨站弹窗的一个函数,confirm可以直接插入代进行使用,漏洞的使用就是绕过ecshop安全拦截规则,把攻击代直接写入到html里。 关于ecshop网站漏洞的修复建议: 对ecshop safety.php文件进行安全过滤,对#97以及href,,进行强制的拦截,html实体编也进行拦截,如果对代不是太懂的话,也可以对模板文件进行安全权限限制 ecshop漏洞,国内像SINE安全、绿盟安全、启明星辰都是比较专业的安全公司,很多攻击者之所以能植入木马病毒,就是抓住了ecshop网站代上的漏洞。

1.2K10

使用ecshop电子商务系统的100个小问题

;文字修改成你需要的文字  56:如何控制ecshop文件的编。 ->统计代。 哪个字段是已经付款金额 回答:formated_money_paid字段是用来控制已付金额的 100:ecshop后台如何增加统计代 回答:后台->系统设置->商店设置->基本设置->统计代.在这里可以放统计代 =str;        } 来:http://www.chinab4c.com 本文由来 21aspnet,由 javajgs_com 整理编辑,其版权均为 21aspnet 所有,文章内容系作者个人观点 如需转载,请注明文章来

44910
  • 广告
    关闭

    腾讯云+社区系列公开课上线啦!

    Vite学习指南,基于腾讯云Webify部署项目。

  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    ecshop模板的原理分析

    1.首先是编译模板ECShop/SPHP 强烈推介IDEA2020.2破解激活,IntelliJ IDEA 注册,2020.2 IDEA 激活 ECShop模板的原理 ECShop的模板原理和上面基本类似,就是在编译的时候和Smarty模板有所修改,比较重要的有一下几点: 1. -- #EndLibraryItem -->这样代中间的所有的代 被替换成一个 {include file /library/xx.lbi} 3.       本文由来 21aspnet,由 javajgs_com 整理编辑,其版权均为 21aspnet 所有,文章内容系作者个人观点,不代表 Java架构师必看 对观点赞同或支持。 如需转载,请注明文章来

    18720

    ecshop 漏洞如何修复 补丁升级与安全修复详情

    目前ecshop漏洞大面积爆发,包括最新版的ecshop 3.0,ecshop 4.0,ecshop2.7.3全系列版本都存在着高危网站漏洞,导致网站被黑,被篡改,被挂马,许多商城系统深受其漏洞的攻击 首先我们要先了解下ecshop漏洞的发生根,我们SINE安全工程师对其所有版本的代进行了全面的人工安全检测,以及网站漏洞检测,发现ecshop根目录下的user.php文件存在远程代执行sql注入漏洞 sql注入代,为什么可以插入呢? ecshop漏洞利用 使用exp代,在post数据包中我们抓取一下,然后伪造referer:插入: Referer: 554fcae493e564ee0dc75bdf2ebf94caads|a:2: ecshop 3.0版本的漏洞,是因为漏洞产生的原因在于includes目录下safety.php 文件,这个代文件主要是限制一些恶意参数的写入,会自动匹配一些数据库查询语句,不管是加密还是都会拦截这些恶意的参数

    53330

    ecshop中ajax的调用原理

    1:首先ecshop是如何定义ajax对象的。      ecshop中的ajax对象是在js/transport.js文件中定义的。里面是ajax对象文件。 返回的结果result也是对象. 4:ecshop ajax函数里面.第三个参数就是回掉函数的名称。 比如以上代addToCartResponse 这个函数就是ajax处理结果的回调函数. 5:在ecshop的php代中,一般是通过get或者post方式来接受函数。比如以下例子,如果接受的是对象。 mysql_like_quote($keywords) . "%'"; $row = $db->getAll($sql); make_json_result($row); } 本文由来 如需转载,请注明文章来

    15850

    ECShop最新4.1.0前台免登录SQL注入0day漏洞披露与分析

    xcheck代安全检查 获取:https://www.ecshop.com/,登录注册下载,最新版本为4.1.1(已修复)。 如果有对ecshop进行过代审计的话,应该会知道在includes/safety.php存在个waf,但是在这个版本并没有生效,这里漏洞触发可以不进入这里的过滤防护逻辑。 image.png 0x02 注入漏洞利用分析 思路一:获取注入获取管理员密md5 ecshop默认密不加盐,所以可以直接注入找到ecs_admin_user表获取管理员密的md5. 现在找到能shell的地方,就是在利用smarty模板渲染来执行代,可参考ecshop原来爆过的一个任意代执行漏洞,这里简要概述下。 0x04 参考 Ecshop 2.x/3.x SQL注入/任意代执行漏洞分析:https://www.secrss.com/articles/4965 ---- 想了解Xcheck更多信息或者代安全审计相关技术欢迎关注

    1.2K50

    ecshop 全系列版本网站漏洞 远程代执行sql注入漏洞

    ecshop漏洞于2018年9月12日被某安全组织披露爆出,该漏洞受影响范围较广,ecshop2.73版本以及目前最新的3.0、3.6、4.0版本都受此次ecshop漏洞的影响,主要漏洞是利用远程代执行 sql注入语句漏洞,导致可以插入sql查询代以及写入代到网站服务器里,严重的可以直接获取服务器的管理员权限,甚至有些网站使用的是虚拟主机,可以直接获取网站ftp的权限,该漏洞POC已公开,使用简单, 目前很多商城网站都被攻击,危害较大,针对于此我们SINE安全对该ECSHOP漏洞的详情以及如何修复网站的漏洞,及如何部署网站安全等方面进行详细的解读。 ecshop漏洞产生原因 全系列版本的ecshop网站漏洞,漏洞的根是在网站根目录下的user.php代,在调用远程函数的同时display赋值的地方可以直接插入恶意的sql注入语句,导致可以查询mysql ecshop漏洞修复 目前ecshop官方并没有升级任何版本,也没有告知漏洞补丁,我们SINE安全公司建议各位网站的运营者对网站配置目录下的lib_insert.php里的id以及num的数据转换成整数型

    84830

    ecshop全系列版本网站漏洞修复 清理网站木马后门

    ecshop漏洞于2018年9月12日被某安全组织披露爆出,该漏洞受影响范围较广,ecshop2.73版本以及目前最新的3.0、3.6、4.0版本都受此次ecshop漏洞的影响,主要漏洞是利用远程代执行 sql注入语句漏洞,导致可以插入sql查询代以及写入代到网站服务器里,严重的可以直接获取服务器的管理员权限,甚至有些网站使用的是虚拟主机,可以直接获取网站ftp的权限,该漏洞POC已公开,使用简单, 目前很多商城网站都被攻击,危害较大,针对于此我们SINE安全对该ECSHOP漏洞的详情以及如何修复网站的漏洞,及如何部署网站安全等方面进行详细的解读。 ecshop漏洞产生原因 全系列版本的ecshop网站漏洞,漏洞的根是在网站根目录下的user.php代,在调用远程函数的同时display赋值的地方可以直接插入恶意的sql注入语句,导致可以查询mysql ecshop漏洞修复 目前ecshop官方并没有升级任何版本,也没有告知漏洞补丁,我们SINE安全公司建议各位网站的运营者对网站配置目录下的lib_insert.php里的id以及num的数据转换成整数型

    1.4K10

    ecshop实现伪静态规则

    $ /ecshop/category.php? id=$2 #RewriteRule /ecshop/goods-([0-9]+)(.*)\.html$ /ecshop/goods.php? id=$2 #RewriteRule /ecshop/article-([0-9]+)(.*)\.html$ /ecshop/article.php? /ecshop/brand.php? id=$2 #RewriteRule /ecshop/tag-(.*)\.html /ecshop/search.php?

    24710

    去除网站底部的Powered by ECShop

    这个问题困扰大家很久了,感觉Powered by ECShop出现在网站里边不爽,想方设法无法去除。今天在下专门把解决方法贴出来,希望能够方便大家! 注:我们使用ecshop的产品,建议把网站底部的Powered by ECShop留着吧,尊重一下ecshop开发兄弟们的劳动成果嘛! 'Powered by ECShop'; 改为:page_title = GLOBALS['_CFG']['shop_title'];  二.去除底部的'Powered by ECShop'; lang.p_y item=pv}{pv}{/foreach}{licensed}
     ,然而删除后'Powered by ECShop'就会在网页中乱跑,故而无法实现我们的效果。 打开js/common.js文件; 将该文件第261行到第353行代删除: onload = function() { varlink_arr = document.getElementsByTagName_r

    23120

    护卫神安装ECSHOP,并配置SSL实践

    V3.55) 2、安装护卫神 1、下载 https://www.hws.com/soft/hostmaster/ 图片.png 2、解压安装 图片.png 图片.png 图片.png 3、使用护卫神添加ECSHOP .*.*:6588/admin/login.asp 备注: 1、IP后面的端口,要在平台的安全组(腾讯云、阿里云等)入站放通,也要在服务器内部的防火墙放通(防火墙关闭的话忽略即可); 2、登录账号和密在服务器桌面上的 【主机大师使用说明.txt】这个文件里; 图片.png 2、下载ECSHOP https://www.shopex.cn/products/ecshop 图片.png 图片.png 图片.png 访问我们之前添加的域名测试下 : http://ecshop.wucloub.com/ 图片.png 图片.png 4、安装ECSHOP网站 1、公网访问,之前添加的ecshop.wucloub.com的网站 http://ecshop.wucloub.com /install/index.php 图片.png 图片.png 图片.png 图片.png 图片.png 图片.png 图片.png 图片.png 5、访问ECSHOP网站 图片.png 6、ECSHOP

    34340

    解决ecshop漏洞修补针对于外贸网站的漏洞修复

    由于8月份的ECSHOP通杀漏洞被国内安全厂商爆出后,众多使用ecshop程序的用户大面积的受到了网站被篡改,最明显的就是外贸站点被跳转到一些仿冒的网站上去,导致在谷歌的用户订单量迅速下降,从百度, 做的购物平台是一些产品上的交易,黑客通过最新的网站通杀漏洞提权拿到了网站所有权限,对数据库进行了篡改导致会员金额被篡改损失严重,对于这几种用ecshop系统的用户被入侵的情况,我们Sine安全部门工程师立即对着几个客户网站进行了详细的程序代安全审计 木马,可以对网站进行上传任何文件,以及编辑文件,或操作mysql数据库的信息,这个脚本木马功能的强大性超过了ftp操作,而且还上传了一些隐蔽性质的后门木马,导致网站被反复性质的篡改,最主要的就是网站根问题就是漏洞的存在 3,对于sql注入以及xss跨站脚本攻击和变量函数转义的过滤措施,如果对程序代不熟悉的话,建议找专业做网站安全的公司来处理,国内推荐Sinesafe,以及绿盟,启蒙星辰等网站安全公司来处理. 4,对于开程序的 ecshop进行详细的代审计和防护以及部署网站程序文件防窜改,以及网站数据的备份机制来减少最低的损失。

    46550

    解决ECSHOP出现Deprecated: preg_replace()报错提示问题

    今天一个网友找到老蒋,告知他的ECSHOP网站好久没有登录,之前是好好的,这次登入后台登入页面的时候有提示"Deprecated: preg_replace()"系列的报错问题,让我帮助解决掉。 对于ECSHOP程序老蒋并没有实际使用过,但是可以肯定的国内中文B2C网站大部分都会用这类程序来做。 原因应该是虚拟主机商调整服务器默认PHP版本有一定的关系,因为老蒋知道ECSHOP支持PHP版本较低。这里我暂时不去调整PHP版本,直接从页面代中调整试试看。 本文出处:老蒋部落 » 解决ECSHOP出现"Deprecated: preg_replace()"报错提示问题 | 欢迎分享

    8650

    修改ECSHOP首页FLASH幻灯片宽度和高度尺寸设置

    ECSHOP是我们常用的B2C程序之一,基本上免费版也足够我们普通的用户使用,在国内算是比较成熟且文档较多的CMS。 比如一个客户的ECSHOP网站首页需要修改FLASH幻灯片尺大小。 这里老蒋把修改的方式记录下来,以来备用下次万一又要修改,二来有朋友需要用到可以参考。 第一、寻找首页广告的位置 theme/当前主题文件夹/library/index_ad.lbi 第二、修改FLASH宽度和高度尺 var swf_width=780; var swf_height= 如果我们需要图片精度准确的,可以重新准备展现广告和产品的图片大小和上面尺一致。 本文出处:老蒋部落 » 修改ECSHOP首页FLASH幻灯片宽度和高度尺寸设置 | 欢迎分享

    7320

    如何清除测试数据

    Ecshop的后台是很强大的,我们只需要把ecshop的所有测试商品删除就可以了。 请看详细教程: 1、删除ecshop测试商品数据 在登入后台,找到商品列表,勾选所有的产品,选择“回收站”,再点击确定就可以了。 2、删除ecshop订单 找到订单列表,选择要所有的产品,点击移除。 3、删除ecshop测试文章(含文章分类,列表) 将所有文章分类,文章列表,文章自动发布,在线调查下的东西全部删除就可以了。

    53270

    网站可以免费做业务CMS讨论

    中国现在用PHPCMS DEDECMS织梦 科学新闻CMS 帝国、Discuz、Ecshop等待,但他们个人利益免费,业务、政府、授权费。 什么CMS它可以自由地做商务网站? 考虑到下面几点: 1 开而且能够免费使用于商业站点、政府站点 2 有一定的用户人气基数,出了问题能够查找相关资料解决 3 自由化可方便的进行二次开发 ————- 中国境内出品的免费的CMS非常多 包含织梦、帝国、Discuz、Ecshop等等等等都是此类的。这类占到“免费序列”的90%。 另一类,确实商业免费。可是属于部分功能版本号,一般也不公开。 就是商业用途也真正免费的,也公开。只是插件或者模板有非常多还是要收费的。这种国内差点儿没有好作品。国外但是海了去了。 —————————- 国外开的比較多。但学习成本比較大。比方JOOMLA DRUPAL WP 二次开发用于商业没问题。特别是JOOMLA, 官网就是程序猿卖插件的网店。

    11520

    解决网站漏洞防止网站被黑

    大体上我了解清楚了,网站被黑的主要原因是:我的网站有漏洞,这个网站一开始的建设,设计都是我在负责,采用的是ecshop商城系统,php+Mysql数据库架构开发的,网站存在漏洞,那就要检查网站的漏洞到底是在哪里 连接我们网站的FTP,下载了所有代,图片,数据库文件到自己的电脑里,百度搜索ecshop漏洞,查看最近出现的ecshop漏洞详情以及如何利用,查看了自己网站的代,再来对比漏洞产生的代,发现了问题, 网站确实存在漏洞,存在sql注入漏洞,这个网站漏洞可以查询网站的管理员账号密,攻击者知道网站的后台账号密,那么就可以进入到我们的网站后台,我查看了ecshop后台登陆记录,发现有一个来自中国香港IP 删除掉这个网站后门,再根据这个后门代的特征进行搜索,看看还没有其他的网站后门了,搜索了一下没有再发现,接下来就是要对网站的漏洞进行修复,查看了ecshop漏洞的修复方案,对产生漏洞代进行了更改,数组与转换模式的代更新即可 辛亏我对网站代这块懂一些,如果对代不是太懂的话,建议找网站安全公司帮你修复网站漏洞,清理掉网站的木马后门,防止网站再被黑。

    78730

    相关产品

    • 云服务器

      云服务器

      云端获取和启用云服务器,并实时扩展或缩减云计算资源。云服务器 支持按实际使用的资源计费,可以为您节约计算成本。 腾讯云服务器(CVM)为您提供安全可靠的弹性云计算服务。只需几分钟,您就可以在云端获取和启用云服务器,并实时扩展或缩减云计算资源。云服务器 支持按实际使用的资源计费,可以为您节约计算成本。

    相关资讯

    热门标签

    扫码关注云+社区

    领取腾讯云代金券