PHPShop存在多个安全漏洞

2016-01-29 15:00 6 1 收藏

PHPShop存在多个安全漏洞,PHPShop存在多个安全漏洞

【 tulaoshi.com - PHP 】

 

  受影响系统:

  phpShop phpShop 0.6.1-b

  详细描述:

  phpShop是一款基于PHP的电子商务程序,可方便的扩展WEB功能。phpShop存在多个安全问题,远程攻击者可以利用这些漏洞攻击数据库,获得敏感信息,执行任意脚本代码。

  具体问题如下:

(本文来源于图老师网站,更多请访问http://www.tulaoshi.com/php/)

  1、SQL注入漏洞:

  当更新会话时存在一个SQL注入问题,可以对"page"变量提交恶意SQL命令而修改原有SQL逻辑,同样对"product_id"和"offset"变量进行注入也存在同样问题。

(本文来源于图老师网站,更多请访问http://www.tulaoshi.com/php/)

  2、用户信息泄露漏洞:

  通过查询"account/shipto"模块,可获得大量客户信息。如果用户以合法帐户登录,也可能查看管理员信息。这些信息包括客户的地址,公司名等等信息。

  3、跨站脚本执行攻击:

  多个参数对用户提交的URI参数缺少充分过滤,提交包含恶意HTML代码的数据,可导致触发跨站脚本攻击,可能获得目标用户的敏感信息。

  目前厂商还没有提供补丁或者升级程序。

 

 

来源:http://www.tulaoshi.com/n/20160129/1495004.html

延伸阅读
由于担心甲骨文没有修复的多个安全漏洞会造成危害,一位安全研究人员公开了六个安全漏洞(其中有三个高风险漏洞)并且提供了绕过这些安全漏洞的方法。 Red-Database-Security GmbH公司的一位安全研究人员Alexander Kornbrust称,在他公开这些安全漏洞的细节之前,他曾试图公平地与甲骨文打交道。但是,650多天(663天至718天之间)的等待...
标签: Web开发
JavaScript包含的Ajax是Web2.0应用的一个重要组成部分。该部分的进化发展使网络变成了超级平台。该转变同时也催生了新品种的病毒和蠕虫,比如Yamanner,Samy 以及Spaceflash等等。Google,Netflix,Yahoo 以及MySpace等门户网站在过去的几个月里都因为新的漏洞而蒙受一定损失。黑客们可以利用这些漏洞进行钓鱼,跨站点脚本(XSS)以及跨站点伪造(XSR...
标签: 戴尔 电脑
据思科安全团队Talos分析发现,戴尔台式机、笔记本的预装软件中存在至少三个不同的安全漏洞,用户必须进款更新软件并且打上最新的补丁,这样才能保证安全。 据思科安全团队Talos分析发现,戴尔台式机、笔记本的预装软件中存在至少三个不同的安全漏洞,用户必须进款更新软件并且打上最新的补丁,这样才能保证安全。 CVE-2016-8...
标签: ASP
       微软鼓励使用其web服务器软件的用户修补一个新发现的安全漏洞。据称,这个安全漏洞可以为黑客打开一扇潜入系统的后门。它也是微软的互联网信息服务器(IIS)在本月被发现的第二个安全漏洞。    微软表示,这个安全漏洞影响4.0和5.0版本的IIS软件,可以使黑客在运行Windows NT和Window...
问题 在最近一次访问西部地区的旅途中,我们通过广播得知,在温哥华岛的海岸边发生了一系列的地震。尽管负责监测这些活动的科学家都充分认识到这一情况,但当时我们正好直接航行到地震发生的地方,却从来没有发现什么东西。你可能会觉得奇怪,这与SQL Server有什么关系。嗯,除非你监测这个功能的发布,要不然你可能不知道SQL Server...

经验教程

164

收藏

38
微博分享 QQ分享 QQ空间 手机页面 收藏网站 回到头部