当前位置:首页 > 互联网 > 正文内容

ecshop三级分销商城小京东V5.0多商户版@锦尚中国.rar后门及漏洞详情

光的传人10年前 (2016-08-10)互联网5710

你是否下载了某源码论坛的三级分销商城小京东V5.0多商户版|B2B2C商城系统源|带触屏版+微信+修复支付程序?压缩包文件名为:三级分销商城小京东V5多商户版@锦尚中国.rar。如果是,就要注意了,这个程序源码是有后门的,并且是webshell!而且ecshop核心程序的很多漏洞也没有修复!

小京东V5.0后门程序(原压缩包里面的截图):

对,就是红框中的phps.php,是一个密码为angel的wenshell。这个程序源码是锦尚中国论坛超级版主欧阳锋发布的,不知道他发布的其他源码是否有后门,请自测。

ecshop内核的漏洞,主要有7个,分别是以下文件(要不是阿里云有这个功能,我还不知道ecshop有这么多注入漏洞呢!)

漏洞文件分别是:

 /mobile/includes/modules/payment/alipay.php(漏洞描述:ECSHOP支付插件存在SQL注入漏洞,此漏洞存在于/includes/modules/payment/alipay.php文件中,该文件是ECshop的支付宝插件。由于ECShop使用了str_replace函数做字符串替换,黑客可绕过单引号限制构造SQL注入语句。只要开启支付宝支付插件就能利用该漏洞获取网站数据,且不需要注册登入)
/mobile/api/client/includesb_api.php(漏洞描述:ECShop存在一个盲注漏洞,问题存在于/api/client/api.php文件中,提交特制的恶意POST请求可进行SQL注入攻击,可获得敏感信息或操作数据库)
/admin/edit_languages.php(漏洞描述:ecshop后台模版编译导致黑客可插入任意恶意代码)
/includes/modules/payment/alipay.php(漏洞描述:ECSHOP支付插件存在SQL注入漏洞,此漏洞存在于/includes/modules/payment/alipay.php文件中,该文件是ECshop的支付宝插件。由于ECShop使用了str_replace函数做字符串替换,黑客可绕过单引号限制构造SQL注入语句。只要开启支付宝支付插件就能利用该漏洞获取网站数据,且不需要注册登入)
/category.php(漏洞描述:ecshop过滤不严导致SQL注入漏洞)
/app/includes/modules/payment/alipay.php(漏洞描述:ECSHOP支付插件存在SQL注入漏洞,此漏洞存在于/includes/modules/payment/alipay.php文件中,该文件是ECshop的支付宝插件。由于ECShop使用了str_replace函数做字符串替换,黑客可绕过单引号限制构造SQL注入语句。只要开启支付宝支付插件就能利用该漏洞获取网站数据,且不需要注册登入)
/api/client/includesb_api.php(ECShop存在一个盲注漏洞,问题存在于/api/client/api.php文件中,提交特制的恶意POST请求可进行SQL注入攻击,可获得敏感信息或操作数据库) 

请自行搜索相关补丁及修复方案进行修复。本站不提供源码及修复文件。

扫描二维码推送至手机访问。

版权声明:本文由光的传人博客www.liu16.com发布,如需转载请注明出处。

本文链接:http://www.liu16.com/post/ecshop_7312.html

分享给朋友:

相关文章

百度搜索小创新:搜索下拉框官网直达

百度搜索小创新:搜索下拉框官网直达

今天使用百度搜索无意间看到这样一个现象,搜索某品牌(大品牌)的关键词时,出现了这个品牌的Logo及品牌名,并且点击可以直达官网!这样的体验还算是不错的!可以避免很多刷百度搜索下拉框带来的不良影响。貌似只有大品牌才会有这样的下拉框,一般小品牌...

支付宝AR红包能否逆袭微信?

支付宝AR红包能否逆袭微信?

又快过年了,支付宝打入社交网络的决心不死,终于在昨天更新了一项新的功能——AR红包功能。从2016年的集五福活动,让大部分人吐槽了个够,虽然为了参加活动加了不少好友,但是支付宝的圈子活跃度仍然不行!这次支付宝AR红包能否逆袭微信呢?让时间证...

品牌资源审核通知函—不要上骗子的当

品牌资源审核通知函—不要上骗子的当

上午朋友打电话来,说我博客里的一篇文章侵犯了别人的权益——中文网络品牌资源协商函—骗局勿信,那个人说,搜索他的名字就看到这文章,对他造成了不好的影响,理论上侵权了(尼玛,你骗别人的时候怎么不说侵犯别人权益呢?你卖中文域名就卖吧,干嘛玩这种文...

草榴社区不及色妹妹、色五月,为何被百度屏蔽?

草榴社区不及色妹妹、色五月,为何被百度屏蔽?

声明:此文纯粹为了分析数据,不分享网址,真的不分享!因为最新网址我也不知道,就是草榴最老的网址我也不知道……所以不要来问我网址。前一阵子看新闻,看到过这样一条信息:央视调查报道画面被眼尖网友发现草榴社区。果然高手在民间,这都能发现!看个央视...

怎样看待58同城简历数据泄漏事件?58简历数据bt下载?

怎样看待58同城简历数据泄漏事件?58简历数据bt下载?

今天才看到新闻说58同城简历数据泄漏了,700元就能买到全国简历数据。又一次大规模信息泄露事件?简历,顾名思义,就是对个人学历、经历、特长、爱好及其它有关情况所作的简明扼要的书面介绍。简历是有针对性的自我介绍的一种规范化、逻辑化的书面表达。...

上网本安装win8消费者预览版测评

上网本安装win8消费者预览版测评

从今天早上一上班就看到有些群里说win8消费者预览版出来了!于是一整天都计划着赶紧体验一下新系统!看着win8的介绍很强大,手也痒了起来!于是趁着中午午休时间,把win8官网的iso文件下载下来了!晚上回到住的地方,赶紧安装起来!网上说用U...

发表评论

访客

看不清,换一张

◎欢迎参与讨论,请在这里发表您的看法和观点。