当前位置:首页 > 互联网 > 正文内容

ecshop三级分销商城小京东V5.0多商户版@锦尚中国.rar后门及漏洞详情

光的传人9年前 (2016-08-10)互联网5393

你是否下载了某源码论坛的三级分销商城小京东V5.0多商户版|B2B2C商城系统源|带触屏版+微信+修复支付程序?压缩包文件名为:三级分销商城小京东V5多商户版@锦尚中国.rar。如果是,就要注意了,这个程序源码是有后门的,并且是webshell!而且ecshop核心程序的很多漏洞也没有修复!

小京东V5.0后门程序(原压缩包里面的截图):

对,就是红框中的phps.php,是一个密码为angel的wenshell。这个程序源码是锦尚中国论坛超级版主欧阳锋发布的,不知道他发布的其他源码是否有后门,请自测。

ecshop内核的漏洞,主要有7个,分别是以下文件(要不是阿里云有这个功能,我还不知道ecshop有这么多注入漏洞呢!)

漏洞文件分别是:

 /mobile/includes/modules/payment/alipay.php(漏洞描述:ECSHOP支付插件存在SQL注入漏洞,此漏洞存在于/includes/modules/payment/alipay.php文件中,该文件是ECshop的支付宝插件。由于ECShop使用了str_replace函数做字符串替换,黑客可绕过单引号限制构造SQL注入语句。只要开启支付宝支付插件就能利用该漏洞获取网站数据,且不需要注册登入)
/mobile/api/client/includesb_api.php(漏洞描述:ECShop存在一个盲注漏洞,问题存在于/api/client/api.php文件中,提交特制的恶意POST请求可进行SQL注入攻击,可获得敏感信息或操作数据库)
/admin/edit_languages.php(漏洞描述:ecshop后台模版编译导致黑客可插入任意恶意代码)
/includes/modules/payment/alipay.php(漏洞描述:ECSHOP支付插件存在SQL注入漏洞,此漏洞存在于/includes/modules/payment/alipay.php文件中,该文件是ECshop的支付宝插件。由于ECShop使用了str_replace函数做字符串替换,黑客可绕过单引号限制构造SQL注入语句。只要开启支付宝支付插件就能利用该漏洞获取网站数据,且不需要注册登入)
/category.php(漏洞描述:ecshop过滤不严导致SQL注入漏洞)
/app/includes/modules/payment/alipay.php(漏洞描述:ECSHOP支付插件存在SQL注入漏洞,此漏洞存在于/includes/modules/payment/alipay.php文件中,该文件是ECshop的支付宝插件。由于ECShop使用了str_replace函数做字符串替换,黑客可绕过单引号限制构造SQL注入语句。只要开启支付宝支付插件就能利用该漏洞获取网站数据,且不需要注册登入)
/api/client/includesb_api.php(ECShop存在一个盲注漏洞,问题存在于/api/client/api.php文件中,提交特制的恶意POST请求可进行SQL注入攻击,可获得敏感信息或操作数据库) 

请自行搜索相关补丁及修复方案进行修复。本站不提供源码及修复文件。

扫描二维码推送至手机访问。

版权声明:本文由光的传人博客www.liu16.com发布,如需转载请注明出处。

本文链接:http://www.liu16.com/post/ecshop_7312.html

分享给朋友:

相关文章

又白洗衣片加盟后真的可以月入过万?又是传销白日梦

又白洗衣片加盟后真的可以月入过万?又是传销白日梦

最近看到小区内的饮水机上贴上了小广告:加盟又白洗衣片,让你发家致富!等等先写一些发家致富的煽动性语言,再配上一些RMB的图片(数钱的图片),最后加个二维码让你加盟又白洗衣片,多俗的微商传销的套路!明眼人一看就知道是类似传销的微商又换产品了!...

win8安装方法汇总

win8安装方法汇总

win8消费者预览版公开提供下载已经三天多时间了,相信很多喜欢尝鲜的朋友都已经安装试用了。但是在安装过程中有没有遇到问题呢?针对win8的安装,特此汇总一下方法。另外,昨天搜索上网本安装win8的时候,看到有一篇文章说神舟的一款上网本装不了...

皇晨国际是骗人的么?加盟皇晨国际真人上当实例整理

皇晨国际是骗人的么?加盟皇晨国际真人上当实例整理

前两天看到有人在我的博文《皇晨国际怎么样?加盟皇晨国际你就被骗了!》留言:”你好,我姐也加入了这个皇晨国际,是被骗了吧,公司把证书都邮过来了,让查证已经交了5000元了,还要再加5000,我觉得是被骗了,姐还不信怎么办?“为此,特整理此文,...

草榴社区不及色妹妹、色五月,为何被百度屏蔽?

草榴社区不及色妹妹、色五月,为何被百度屏蔽?

声明:此文纯粹为了分析数据,不分享网址,真的不分享!因为最新网址我也不知道,就是草榴最老的网址我也不知道……所以不要来问我网址。前一阵子看新闻,看到过这样一条信息:央视调查报道画面被眼尖网友发现草榴社区。果然高手在民间,这都能发现!看个央视...

达摩院:1000亿+的投资,马云留给世界最好的东西之一

达摩院:1000亿+的投资,马云留给世界最好的东西之一

了解了下10月11日的2017云栖大会,发现马云又创造了一个好宝贝:达摩院!看着很有前景,看着让人振奋,多少年以后,也许真会如马云所说,达摩院将会活的比阿里巴巴长,是留给世界最好的东西之一。以下是马云与科学家座谈及云栖大会演讲:阿里巴巴研发...

关于EMIS邮件服务升级通知,千万不要回复,这是钓鱼邮件

关于EMIS邮件服务升级通知,千万不要回复,这是钓鱼邮件

今天收到一封邮件,是腾讯企业邮箱收到的,一看发件人我就知道是骗子发来的,内容如下:各位领导及同事:公司办公自动化(OA)系统自运行以来,已不断优化完善。为提高办公效率,实现无纸化办公,公司将全面推进办公自动化(OA)系统的使用。公司企业邮箱...

发表评论

访客

看不清,换一张

◎欢迎参与讨论,请在这里发表您的看法和观点。