PHPShop存在多个安全漏洞

2016-01-29 15:00 6 1 收藏

PHPShop存在多个安全漏洞,PHPShop存在多个安全漏洞

【 tulaoshi.com - PHP 】

　　受影响系统：

　　phpShop phpShop 0.6.1-b

　　详细描述：

　　phpShop是一款基于PHP的电子商务程序，可方便的扩展WEB功能。phpShop存在多个安全问题，远程攻击者可以利用这些漏洞攻击数据库，获得敏感信息，执行任意脚本代码。

　　具体问题如下：

　　1、SQL注入漏洞：

　　当更新会话时存在一个SQL注入问题，可以对"page"变量提交恶意SQL命令而修改原有SQL逻辑，同样对"product_id"和"offset"变量进行注入也存在同样问题。

　　2、用户信息泄露漏洞：

　　通过查询"account/shipto"模块，可获得大量客户信息。如果用户以合法帐户登录，也可能查看管理员信息。这些信息包括客户的地址，公司名等等信息。

　　3、跨站脚本执行攻击：

　　多个参数对用户提交的URI参数缺少充分过滤，提交包含恶意HTML代码的数据，可导致触发跨站脚本攻击，可能获得目标用户的敏感信息。

　　目前厂商还没有提供补丁或者升级程序。

来源:http://www.tulaoshi.com/n/20160129/1495004.html

上一篇：一个阿拉伯数字转中文数字的函数
下一篇： MySQL优化全攻略－服务器参数调整

看过《PHPShop存在多个安全漏洞》的人还看了以下文章更多>>

Oracle出现六个安全漏洞三个高危

标签：编程语言网络编程

由于担心甲骨文没有修复的多个安全漏洞会造成危害，一位安全研究人员公开了六个安全漏洞(其中有三个高风险漏洞)并且提供了绕过这些安全漏洞的方法。 Red-Database-Security GmbH公司的一位安全研究人员Alexander Kornbrust称，在他公开这些安全漏洞的细节之前，他曾试图公平地与甲骨文打交道。但是，650多天(663天至718天之间)的等待...

Web2.0十大Ajax安全漏洞以及成因

标签： Web开发

JavaScript包含的Ajax是Web2.0应用的一个重要组成部分。该部分的进化发展使网络变成了超级平台。该转变同时也催生了新品种的病毒和蠕虫，比如Yamanner,Samy 以及Spaceflash等等。Google,Netflix,Yahoo 以及MySpace等门户网站在过去的几个月里都因为新的漏洞而蒙受一定损失。黑客们可以利用这些漏洞进行钓鱼，跨站点脚本(XSS)以及跨站点伪造(XSR...

预装软件暗藏不安全漏洞：戴尔PC用户悲剧

标签：戴尔电脑

据思科安全团队Talos分析发现，戴尔台式机、笔记本的预装软件中存在至少三个不同的安全漏洞，用户必须进款更新软件并且打上最新的补丁，这样才能保证安全。据思科安全团队Talos分析发现，戴尔台式机、笔记本的预装软件中存在至少三个不同的安全漏洞，用户必须进款更新软件并且打上最新的补丁，这样才能保证安全。 CVE-2016-8...

微软修补其IIS软件中的又一处安全漏洞

标签： ASP

微软鼓励使用其web服务器软件的用户修补一个新发现的安全漏洞。据称，这个安全漏洞可以为黑客打开一扇潜入系统的后门。它也是微软的互联网信息服务器（IIS）在本月被发现的第二个安全漏洞。微软表示，这个安全漏洞影响4.0和5.0版本的IIS软件，可以使黑客在运行Windows NT和Window...

SQL Server 7.0到2005的安全漏洞会允许登录权限提高？

标签：编程语言网络编程

问题在最近一次访问西部地区的旅途中，我们通过广播得知，在温哥华岛的海岸边发生了一系列的地震。尽管负责监测这些活动的科学家都充分认识到这一情况，但当时我们正好直接航行到地震发生的地方，却从来没有发现什么东西。你可能会觉得奇怪，这与SQL Server有什么关系。嗯，除非你监测这个功能的发布，要不然你可能不知道SQL Server...

查看更多精彩>>