当前位置:首页 > 互联网 > 正文内容

ecshop三级分销商城小京东V5.0多商户版@锦尚中国.rar后门及漏洞详情

光的传人9年前 (2016-08-10)互联网5411

你是否下载了某源码论坛的三级分销商城小京东V5.0多商户版|B2B2C商城系统源|带触屏版+微信+修复支付程序?压缩包文件名为:三级分销商城小京东V5多商户版@锦尚中国.rar。如果是,就要注意了,这个程序源码是有后门的,并且是webshell!而且ecshop核心程序的很多漏洞也没有修复!

小京东V5.0后门程序(原压缩包里面的截图):

对,就是红框中的phps.php,是一个密码为angel的wenshell。这个程序源码是锦尚中国论坛超级版主欧阳锋发布的,不知道他发布的其他源码是否有后门,请自测。

ecshop内核的漏洞,主要有7个,分别是以下文件(要不是阿里云有这个功能,我还不知道ecshop有这么多注入漏洞呢!)

漏洞文件分别是:

 /mobile/includes/modules/payment/alipay.php(漏洞描述:ECSHOP支付插件存在SQL注入漏洞,此漏洞存在于/includes/modules/payment/alipay.php文件中,该文件是ECshop的支付宝插件。由于ECShop使用了str_replace函数做字符串替换,黑客可绕过单引号限制构造SQL注入语句。只要开启支付宝支付插件就能利用该漏洞获取网站数据,且不需要注册登入)
/mobile/api/client/includesb_api.php(漏洞描述:ECShop存在一个盲注漏洞,问题存在于/api/client/api.php文件中,提交特制的恶意POST请求可进行SQL注入攻击,可获得敏感信息或操作数据库)
/admin/edit_languages.php(漏洞描述:ecshop后台模版编译导致黑客可插入任意恶意代码)
/includes/modules/payment/alipay.php(漏洞描述:ECSHOP支付插件存在SQL注入漏洞,此漏洞存在于/includes/modules/payment/alipay.php文件中,该文件是ECshop的支付宝插件。由于ECShop使用了str_replace函数做字符串替换,黑客可绕过单引号限制构造SQL注入语句。只要开启支付宝支付插件就能利用该漏洞获取网站数据,且不需要注册登入)
/category.php(漏洞描述:ecshop过滤不严导致SQL注入漏洞)
/app/includes/modules/payment/alipay.php(漏洞描述:ECSHOP支付插件存在SQL注入漏洞,此漏洞存在于/includes/modules/payment/alipay.php文件中,该文件是ECshop的支付宝插件。由于ECShop使用了str_replace函数做字符串替换,黑客可绕过单引号限制构造SQL注入语句。只要开启支付宝支付插件就能利用该漏洞获取网站数据,且不需要注册登入)
/api/client/includesb_api.php(ECShop存在一个盲注漏洞,问题存在于/api/client/api.php文件中,提交特制的恶意POST请求可进行SQL注入攻击,可获得敏感信息或操作数据库) 

请自行搜索相关补丁及修复方案进行修复。本站不提供源码及修复文件。

扫描二维码推送至手机访问。

版权声明:本文由光的传人博客www.liu16.com发布,如需转载请注明出处。

本文链接:http://www.liu16.com/post/ecshop_7312.html

分享给朋友:

相关文章

上网本安装win8消费者预览版测评

上网本安装win8消费者预览版测评

从今天早上一上班就看到有些群里说win8消费者预览版出来了!于是一整天都计划着赶紧体验一下新系统!看着win8的介绍很强大,手也痒了起来!于是趁着中午午休时间,把win8官网的iso文件下载下来了!晚上回到住的地方,赶紧安装起来!网上说用U...

冰桶挑战,这种自残自虐的活动为什么能够火?

冰桶挑战,这种自残自虐的活动为什么能够火?

冰桶挑战全称为“ALS冰桶挑战赛”(ALS Ice Bucket Challenge),要求参与者在网络上发布自己被冰水浇遍全身的视频内容,然后该参与者便可以要求其他人来参与这一活动。活动规定,被邀请者要么在24小时内接受挑战,要么就选择为...

百度用上了DZ论坛,没权限发帖!

百度用上了DZ论坛,没权限发帖!

昨晚看到一个群里说百度开论坛了,赶紧看一下链接,果然是百度的域名。于是打开一看,还真的是百度论坛!不知道为什么用的DZ论坛。当时看的时候,已经有很多帖子了,乱七八糟的很多,看来是新开的,还没有设置好。今天早上一看,得,乱七八糟的帖子全部删除...

连上VPN后,facebook、twitter等网站打不开怎么回事?

连上VPN后,facebook、twitter等网站打不开怎么回事?

问题背景:有正常使用的VPN帐号,连接上之后却打不开facebook、twitter等网站,甚至打开twitter后的页面竟然是有IBM LOGO的一个页面!!!这是怎么回事呢?难道twitter被黑了?首先考虑的是不是浏览器劫持、病毒等因...

大话企业做站“不可告人”的目的

大话企业做站“不可告人”的目的

企业大致可以分为大、中、小三个级别,不管你是大是小,在21世纪的今天,如果跟互联网搭不上边,那你就等着慢慢被淘汰吧!于是乎,企业一窝蜂的开始制作网站——管你是好是坏,只要是网站!殊不知,这些企业的老板大多对这个新兴的...

京东私自修改用户订单,狗狗的路还能走多远?

京东私自修改用户订单,狗狗的路还能走多远?

一大清早的就遇到一件不开心的事:昨晚在京东商城下的单今天早上一查,被擅自修改了!!!京东竟然私自修改用户订单!联系在线客服,打死都不承认是京东修改的订单,看来以后在京东买东西(遇到这样的事,京东已经是最后考虑的购物平台了),下单后一定要截图...

发表评论

访客

看不清,换一张

◎欢迎参与讨论,请在这里发表您的看法和观点。