当前位置:首页 > 互联网 > 正文内容

ecshop三级分销商城小京东V5.0多商户版@锦尚中国.rar后门及漏洞详情

光的传人10年前 (2016-08-10)互联网5708

你是否下载了某源码论坛的三级分销商城小京东V5.0多商户版|B2B2C商城系统源|带触屏版+微信+修复支付程序?压缩包文件名为:三级分销商城小京东V5多商户版@锦尚中国.rar。如果是,就要注意了,这个程序源码是有后门的,并且是webshell!而且ecshop核心程序的很多漏洞也没有修复!

小京东V5.0后门程序(原压缩包里面的截图):

对,就是红框中的phps.php,是一个密码为angel的wenshell。这个程序源码是锦尚中国论坛超级版主欧阳锋发布的,不知道他发布的其他源码是否有后门,请自测。

ecshop内核的漏洞,主要有7个,分别是以下文件(要不是阿里云有这个功能,我还不知道ecshop有这么多注入漏洞呢!)

漏洞文件分别是:

 /mobile/includes/modules/payment/alipay.php(漏洞描述:ECSHOP支付插件存在SQL注入漏洞,此漏洞存在于/includes/modules/payment/alipay.php文件中,该文件是ECshop的支付宝插件。由于ECShop使用了str_replace函数做字符串替换,黑客可绕过单引号限制构造SQL注入语句。只要开启支付宝支付插件就能利用该漏洞获取网站数据,且不需要注册登入)
/mobile/api/client/includesb_api.php(漏洞描述:ECShop存在一个盲注漏洞,问题存在于/api/client/api.php文件中,提交特制的恶意POST请求可进行SQL注入攻击,可获得敏感信息或操作数据库)
/admin/edit_languages.php(漏洞描述:ecshop后台模版编译导致黑客可插入任意恶意代码)
/includes/modules/payment/alipay.php(漏洞描述:ECSHOP支付插件存在SQL注入漏洞,此漏洞存在于/includes/modules/payment/alipay.php文件中,该文件是ECshop的支付宝插件。由于ECShop使用了str_replace函数做字符串替换,黑客可绕过单引号限制构造SQL注入语句。只要开启支付宝支付插件就能利用该漏洞获取网站数据,且不需要注册登入)
/category.php(漏洞描述:ecshop过滤不严导致SQL注入漏洞)
/app/includes/modules/payment/alipay.php(漏洞描述:ECSHOP支付插件存在SQL注入漏洞,此漏洞存在于/includes/modules/payment/alipay.php文件中,该文件是ECshop的支付宝插件。由于ECShop使用了str_replace函数做字符串替换,黑客可绕过单引号限制构造SQL注入语句。只要开启支付宝支付插件就能利用该漏洞获取网站数据,且不需要注册登入)
/api/client/includesb_api.php(ECShop存在一个盲注漏洞,问题存在于/api/client/api.php文件中,提交特制的恶意POST请求可进行SQL注入攻击,可获得敏感信息或操作数据库) 

请自行搜索相关补丁及修复方案进行修复。本站不提供源码及修复文件。

扫描二维码推送至手机访问。

版权声明:本文由光的传人博客www.liu16.com发布,如需转载请注明出处。

本文链接:http://www.liu16.com/post/ecshop_7312.html

分享给朋友:

相关文章

皇晨国际是骗人的么?加盟皇晨国际真人上当实例整理

皇晨国际是骗人的么?加盟皇晨国际真人上当实例整理

前两天看到有人在我的博文《皇晨国际怎么样?加盟皇晨国际你就被骗了!》留言:”你好,我姐也加入了这个皇晨国际,是被骗了吧,公司把证书都邮过来了,让查证已经交了5000元了,还要再加5000,我觉得是被骗了,姐还不信怎么办?“为此,特整理此文,...

ShopEx云登录安装失败

ShopEx云登录安装失败

 千呼万唤始出来,犹抱琵琶半遮面ShopEx云登录终于出来了,可是却不是想象着中的那么好,因为根本就没有安装上!一直安装失败!在官方论坛上反映,给回复了个:“本APP文件仅适用于4.8.5.55328版本及以上版本,请...

论百度算法的不科学性

论百度算法的不科学性

半年不到的时间,本博客就被百度无缘无故的k了两次,具体状况就是百度快照停滞不前,特有关键词排名消失,但是个别页面仍有排名,也是下降了不少。其中具体原因不得而知,只是用了百度自己的外链工具拒绝了垃圾外链后,排名就恢复了!仔细分析下这种状况,作...

从“泰版流星花园在线观看”来看站长之家的关键词指数是否准确

从“泰版流星花园在线观看”来看站长之家的关键词指数是否准确

今晚在研究某站关键词的时候,发现了一个词比较奇怪:“泰版流星花园在线观看”在百度移动权重查询里显示搜索指数是19216,而点击关键词后面的挖词,进入相关关键词拓展的时候,竟然出现了比较怪异的事,长尾词挖掘里面竟然没有出现关键词“泰版流星花园...

微商晚会(微商春晚)为微商行业正名?主持人汪涵成为洗脑冲锋枪

微商晚会(微商春晚)为微商行业正名?主持人汪涵成为洗脑冲锋枪

“说我们是传销的人📍📍你见过主持人汪涵主持的传销晚会吗‼️‼️你见过一线大明星助阵的传销吗‼️你见过在深圳湾体育馆主持的传销晚会吗‼️警方协助安检维持现场秩序的传销吗‼️到场明星无不称赞无不佩服的微商人,微商春晚让你大开眼界‼️”看到朋友圈...

大神手机复活,期待发布全面屏手机重新崛起

大神手机复活,期待发布全面屏手机重新崛起

今天看到消息,大神手机即将回归!首款全面屏手机11月亮相。大神手机?当年酷派旗下的大神,如今是谁的呢?据最新资料显示,2015年6月奇酷正式完成对大神手机并购,由周鸿祎直接操刀,运营奇酷品牌与大神品牌;2016年12月9 日,百立丰宣布完成...

发表评论

访客

看不清,换一张

◎欢迎参与讨论,请在这里发表您的看法和观点。