ecshop SQL注入漏洞修复 支付漏洞修复
Posted
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了ecshop SQL注入漏洞修复 支付漏洞修复相关的知识,希望对你有一定的参考价值。
ecshop最新SQL注入漏洞,出现在后台管理,涉及到的文件有 includes/modules/payment/alipay.php,api/client/includes/lib_api.php,admin/edit_languages.php 注入漏洞
影响到所有包括ecshop,大小京东,大小商创程序以ecshop为内核的程序
到目前为止,ecshop官网还未做修复。
1.alipay.php 修复方法(约180行)
查找
|
1
|
$order_sn = trim($order_sn); |
修改为:
|
1
|
$order_sn = trim(addslashes($order_sn));//安全过滤 by uuecs.com |
2. lib_api.php 修复方法(约247行)
查找
|
1
2
|
function API_UserLogin($post) { |
修改为
|
1
2
|
function API_UserLogin($post) { if (get_magic_quotes_gpc()) { $post[‘UserId‘] = $post[‘UserId‘] } else { $post[‘UserId‘] = addslashes($post[‘UserId‘]); }//安全过滤 by uuecs.com |
注意位置,别修改错了
3. admin/edit_languages.php修复方法(大概在第120行)
查找
|
1
|
$dst_items[$i] = $_POST[‘item_id‘][$i] .‘ = ‘. ‘"‘ .$_POST[‘item_content‘][$i]. ‘";‘; |
修改为:
|
1
|
$dst_items[$i] = $_POST[‘item_id‘][$i] .‘ = ‘. ‘\‘‘ .$_POST[‘item_content‘][$i]. ‘\‘;‘;//双引号改为单引号 by uuecs.com |
以上是关于ecshop SQL注入漏洞修复 支付漏洞修复的主要内容,如果未能解决你的问题,请参考以下文章
阿里云提示ecshop Discuz uc.key泄露导致代码注入漏洞修复
安全测试 web安全测试 常规安全漏洞 可能存在SQL和JS注入漏洞场景分析。为什么自己没有找到漏洞,哪么可能存在漏洞场景是?SQL注入漏洞修复 JS注入漏洞修复 漏洞存在场景分析和修复示例(代码片段