里面 50:如果不小心把ecshop 的install.lock文件删除了怎么办 回答:很简单.在data 目录下,建立一个名字为install.lock的文件就好了。 修改成目前现在的密码 82:V2.7.1 beta1 admin目录怎么修改 回答:data/config.php里面修改$admin_dir = "xx"; 83:ecshop.2.7.1里面,如何将其他栏目增加到导航栏 85:ECSHOP中admin/sitemap.php 这个文件是用来做什么的? 它生成的sitemap.xml 文件有什么用?? 回答:他是生成ecshop网站地图,生成的地图文件,可以用来帮助商城的SEO方面的用途 86:新下载的ecshop模板如何使用 回答:解压后,把他直接拷贝到themes目录里面。 \modules\shipping这个目录就是存储配送插件目录的 96:会员注册怎么送积分 回答:商店设置->基本设置->会员注册赠送积分 97:EC如何验证注册email是否重复 回答:js/user.js
那么ecshop漏洞如何修复呢? sql注入代码,为什么可以插入呢? 原理很简单,ecshop商城使用的模板引擎是采用smarty引擎,这个引擎在国内是比较有名的,大多数都会调用到一些常用的参数,比如assign,display这两个常用的引擎函数,由于assign的函数是需要模板执行的时候才能赋值 ecshop漏洞利用 使用exp代码,在post数据包中我们抓取一下,然后伪造referer:插入: Referer: 554fcae493e564ee0dc75bdf2ebf94caads|a:2: 上图已经返回了数据库的版本信息,那么攻击者就可以构造远程代码执行数据库操作,上传木马后门到网站里去,并进行篡改网站即可。
Vite学习指南,基于腾讯云Webify部署项目。
ecshop目前最新版本为4.0,是国内开源的一套商城系统,很多外贸公司,以及电商平台都在使用,正因为使用的人数较多,很多攻击者都在挖掘该网站的漏洞,就在最近ecshop被爆出高危漏洞,该漏洞利用跨站伪造函数 ecshop 漏洞详情 该网站漏洞发生的根本原因是根目录下的user.php文件,在第315-365行里的代码里,该代码主要是处理用户注册,用户登录的一些功能请求处理,与数据库进行通信查询用户的账号密码是否正确 我们使用一台windows2008服务器来搭建下ecshop系统的环境,我们使用IIS7.5+mysql数据库,php的版本为5.3,在官方下载最新版。 但是ecshop官方疏忽了JS跨站弹窗的一个函数,confirm可以直接插入代码进行使用,漏洞的使用就是绕过ecshop安全拦截规则,把攻击代码直接写入到html里。 这样直接绕过了ecshop的安全检测,该漏洞的使用需要用户点击图片才可以使漏洞正常使用。
这个问题困扰大家很久了,感觉Powered by ECShop出现在网站里边不爽,想方设法无法去除。今天在下专门把解决方法贴出来,希望能够方便大家! 注:我们使用ecshop的产品,建议把网站底部的Powered by ECShop留着吧,尊重一下ecshop开发兄弟们的劳动成果嘛! 一.去掉标题栏的'Powered by ECShop' 打开includes/lib_main.php文件; 找到:page_title = GLOBALS['_CFG']['shop_title'] 'Powered by ECShop'; 改为:page_title = GLOBALS['_CFG']['shop_title']; 二.去除底部的'Powered by ECShop'; lang.p_y item=pv}{pv}{/foreach}{licensed} ,然而删除后'Powered by ECShop'就会在网页中乱跑,故而无法实现我们的效果。
Ecshop的后台是很强大的,我们只需要把ecshop的所有测试商品删除就可以了。 请看详细教程: 1、删除ecshop测试商品数据 在登入后台,找到商品列表,勾选所有的产品,选择“回收站”,再点击确定就可以了。 (注意有测试页面一般都是有两页) 使用同种方法可以完全删除商品列表,商品分类,用户评论,商品类型,标签管理,虚拟商品列表下的所有数据。 2、删除ecshop订单 找到订单列表,选择要所有的产品,点击移除。 3、删除ecshop测试文章(含文章分类,列表) 将所有文章分类,文章列表,文章自动发布,在线调查下的东西全部删除就可以了。
护卫神集成环境(V3.55) 2、安装护卫神 1、下载 https://www.hws.com/soft/hostmaster/ 图片.png 2、解压安装 图片.png 图片.png 图片.png 3、使用护卫神添加 ECSHOP网站 1、登录到护卫神后台 公网访问,护卫神的后台: http://123.206.*.*:6588/admin/login.asp 备注: 1、IP后面的端口,要在平台的安全组(腾讯云、阿里云等 )入站放通,也要在服务器内部的防火墙放通(防火墙关闭的话忽略即可); 2、登录账号和密码在服务器桌面上的【主机大师使用说明.txt】这个文件里; 图片.png 2、下载ECSHOP https://www.shopex.cn /products/ecshop 图片.png 图片.png 图片.png 访问我们之前添加的域名测试下: http://ecshop.wucloub.com/ 图片.png 图片.png 4、安装ECSHOP ://ecshop.wucloub.com/install/index.php 图片.png 图片.png 图片.png 图片.png 图片.png 图片.png 图片.png 图片.png 5、访问ECSHOP
ecshop漏洞于2018年9月12日被某安全组织披露爆出,该漏洞受影响范围较广,ecshop2.73版本以及目前最新的3.0、3.6、4.0版本都受此次ecshop漏洞的影响,主要漏洞是利用远程代码执行 sql注入语句漏洞,导致可以插入sql查询代码以及写入代码到网站服务器里,严重的可以直接获取服务器的管理员权限,甚至有些网站使用的是虚拟主机,可以直接获取网站ftp的权限,该漏洞POC已公开,使用简单, ecshop漏洞产生原因 全系列版本的ecshop网站漏洞,漏洞的根源是在网站根目录下的user.php代码,在调用远程函数的同时display赋值的地方可以直接插入恶意的sql注入语句,导致可以查询mysql ecshop漏洞修复 目前ecshop官方并没有升级任何版本,也没有告知漏洞补丁,我们SINE安全公司建议各位网站的运营者对网站配置目录下的lib_insert.php里的id以及num的数据转换成整数型 ,或者是将网站的user.php改名,停止用户管理中心的登录,或者找专业的网站安全公司去修复漏洞补丁,做好网站安全检测与部署。
ECSHOP是我们常用的B2C程序之一,基本上免费版也足够我们普通的用户使用,在国内算是比较成熟且文档较多的CMS。 一款CMS我们不在乎他的功能多么强大,最为需要在需要解决问题的时候官方或者能够搜索到问题解决方案。比如一个客户的ECSHOP网站首页需要修改FLASH幻灯片尺码大小。 这里老蒋把修改的方式记录下来,以来备用下次万一又要修改,二来有朋友需要用到可以参考。 本文出处:老蒋部落 » 修改ECSHOP首页FLASH幻灯片宽度和高度尺寸设置 | 欢迎分享
模板的原理类似Smarty/ECShop这类模板的原理如下图所示。 模板的原理 类似Smarty/ECShop这类模板的原理如下图所示。 1.首先是编译模板 ECShop/Smart是利用PHP引擎,所以编译的结果是一个PHP文件,其编译过程就是 将分隔符{}替换成PHP的标准分隔符<?PHP ? >, 将 2.其次是生成编译结果 编译结果是PHP文件,并且编译结果可以重用,所以这种文件会存到临时缓存目录里面。 3.利用PHP引擎执行结果 输出HTML结果。 ECShop模板的原理 ECShop的模板原理和上面基本类似,就是在编译的时候和Smarty模板有所修改,比较重要的有一下几点: 1.
1:首先ecshop是如何定义ajax对象的。 ecshop中的ajax对象是在js/transport.js文件中定义的。里面是ajax对象文件。 声明了一个var Ajax = Transport;对象和一个方法Ajax.call = Transport.run; 2:ecshop中ajax可以使用两种方式传递数据.一种是get方式,一种是post 返回的结果result也是对象. 4:ecshop ajax函数里面.第三个参数就是回掉函数的名称。 还需要用json数据格式来处理.比如以下 include_once('includes/cls_json.php'); _POST['goods'] = json_str_iconv(_POST user_search" size="15" style="width:260px" οndblclick="addUser()" multiple="true"> </select> /** * 按用户名搜索用户
image.png 0x02 注入漏洞利用分析 思路一:获取注入获取管理员密码md5 ecshop默认密码不加盐,所以可以直接注入找到ecs_admin_user表获取管理员密码的md5. 这里登录是直接校验密码md5,也就是说当思路一解不出来时,这里也能用上密码的md5。 image.png 登录成功后访问api接口,可以利用一个任意写入漏洞。 现在找到能shell的地方,就是在利用smarty模板渲染来执行代码,可参考ecshop原来爆过的一个任意代码执行漏洞,这里简要概述下。 由于是无回显,所以payload采用的是写文件的方式。 本文仅限技术研究与讨论,严禁用于非法用途。
今天一个网友找到老蒋,告知他的ECSHOP网站好久没有登录,之前是好好的,这次登入后台登入页面的时候有提示"Deprecated: preg_replace()"系列的报错问题,让我帮助解决掉。 对于ECSHOP程序老蒋并没有实际使用过,但是可以肯定的国内中文B2C网站大部分都会用这类程序来做。 原因应该是虚拟主机商调整服务器默认PHP版本有一定的关系,因为老蒋知道ECSHOP支持PHP版本较低。这里我暂时不去调整PHP版本,直接从页面代码中调整试试看。 本文出处:老蒋部落 » 解决ECSHOP出现"Deprecated: preg_replace()"报错提示问题 | 欢迎分享
那么该如何解决网站被黑? 防止网站被黑呢? 我从百度里查询了好多关于网站为什么被黑的原因,总结了一下,首先网站被黑的最根本原因是网站存在着漏洞,攻击者利用网站的漏洞,进入了网站的后台。 大体上我了解清楚了,网站被黑的主要原因是:我的网站有漏洞,这个网站一开始的建设,设计都是我在负责,采用的是ecshop商城系统,php+Mysql数据库架构开发的,网站存在漏洞,那就要检查网站的漏洞到底是在哪里 ,包括网站存在哪些后门,病毒什么的。 连接我们网站的FTP,下载了所有代码,图片,数据库文件到自己的电脑里,百度搜索ecshop漏洞,查看最近出现的ecshop漏洞详情以及如何利用,查看了自己网站的代码,再来对比漏洞产生的代码,发现了问题, 网站确实存在漏洞,存在sql注入漏洞,这个网站漏洞可以查询网站的管理员账号密码,攻击者知道网站的后台账号密码,那么就可以进入到我们的网站后台,我查看了ecshop后台登陆记录,发现有一个来自中国香港IP
以前没有逛知乎的时候,只知道做网站用wordpress,因为几乎整个互联网都是wordpress的推文和广告文,以为wordpress就是可以建各种牛逼的网站的万能建站系统,实际中使用才发现wordpress 下载下来只是一个简单的个人博客系统,除了安装一下插件扩展一下功能以外,也没有网上吹嘘的那么牛B,只能说宣传团队做得不错。 建站系统分类 pageadmin专业用于做企业、学校、政府网站,ecshop专业用于建购物,分销,外卖类网站,discuz专业用于建论坛,社区门户网站,wordpress其实主要用于建个人博客和简单的内容站 企业单位类网站用PageAdmin、购物,商城的用ECShop、博客用wordpress、论坛站的用discuz等、知道了这些就可以轻松的按步骤进行了。 pageadmin官网地址:http://www.pageadmin.net/ Ecshop官网地址:http://www.ecshop.com/ wordpress官网地址: https://cn.wordpress.org
由于8月份的ECSHOP通杀漏洞被国内安全厂商爆出后,众多使用ecshop程序源码的用户大面积的受到了网站被篡改,最明显的就是外贸站点被跳转到一些仿冒的网站上去,导致在谷歌的用户订单量迅速下降,从百度, ecshop做的购物平台是一些产品上的交易,黑客通过最新的网站通杀漏洞提权拿到了网站所有权限,对数据库进行了篡改导致会员金额被篡改损失严重,对于这几种用ecshop系统的用户被入侵的情况,我们Sine安全部门工程师立即对着几个客户网站进行了详细的程序代码安全审计 因为这几个客户之前网站被篡改跳转后首先想到的是用备份覆盖程序文件,但这一点只能解决当时问题因为被篡改是反复性质的,导致大量的网站会员反映无法正常下订单,对此产生的影响非常大,那么我来讲解下处理此类客户问题的具体过程 这个脚本木马功能的强大性超过了ftp操作,而且还上传了一些隐蔽性质的后门木马,导致网站被反复性质的篡改,最主要的就是网站根源问题就是漏洞的存在,导致上传了备份文件没过多久就又被上传了木马篡改了首页内容,对此那么对症下药的问题解决关键就是修复漏洞所在 sql注入以及xss跨站脚本攻击和变量函数转义的过滤措施,如果对程序代码不熟悉的话,建议找专业做网站安全的公司来处理,国内推荐Sinesafe,以及绿盟,启蒙星辰等网站安全公司来处理. 4,对于开源程序的ecshop
云端获取和启用云服务器,并实时扩展或缩减云计算资源。云服务器 支持按实际使用的资源计费,可以为您节约计算成本。 腾讯云服务器(CVM)为您提供安全可靠的弹性云计算服务。只需几分钟,您就可以在云端获取和启用云服务器,并实时扩展或缩减云计算资源。云服务器 支持按实际使用的资源计费,可以为您节约计算成本。
扫码关注云+社区
领取腾讯云代金券
云服务器
测试服务 WeTest
文件存储
SSL 证书
WordPress