PHPShop存在多个安全漏洞


Posted in PHP onOctober 09, 2006

受影响系统:

phpShop phpShop 0.6.1-b

详细描述:

phpShop是一款基于PHP的电子商务程序,可方便的扩展WEB功能。phpShop存在多个安全问题,远程攻击者可以利用这些漏洞攻击数据库,获得敏感信息,执行任意脚本代码。

具体问题如下:

1、SQL注入漏洞:

当更新会话时存在一个SQL注入问题,可以对"page"变量提交恶意SQL命令而修改原有SQL逻辑,同样对"product_id"和"offset"变量进行注入也存在同样问题。

2、用户信息泄露漏洞:

通过查询"account/shipto"模块,可获得大量客户信息。如果用户以合法帐户登录,也可能查看管理员信息。这些信息包括客户的地址,公司名等等信息。

3、跨站脚本执行攻击:

多个参数对用户提交的URI参数缺少充分过滤,提交包含恶意HTML代码的数据,可导致触发跨站脚本攻击,可能获得目标用户的敏感信息。

目前厂商还没有提供补丁或者升级程序。

 

PHP 相关文章推荐
mysql数据库差异比较的PHP代码
Feb 05 PHP
深入解析fsockopen与pfsockopen的区别
Jul 05 PHP
浅析PHP安装扩展mcrypt以及相关依赖项(PHP安装PECL扩展的方法)
Jul 05 PHP
php读取大文件示例分享(文件操作类)
Apr 13 PHP
浅谈php正则表达式中的非贪婪模式匹配的使用
Nov 25 PHP
PHP计算指定日期所在周的开始和结束日期的方法
Mar 24 PHP
PHP生成随机密码方法汇总
Aug 27 PHP
PHP查询附近的人及其距离的实现方法
May 11 PHP
php使用curl通过代理获取数据的实现方法
May 16 PHP
PHP入门教程之图像处理技巧分析
Sep 11 PHP
laravel通过创建自定义artisan make命令来新建类文件详解
Aug 17 PHP
PHP判断函数是否被定义的方法
Jun 21 PHP
配置最新的PHP加MYSQL服务器
Oct 09 #PHP
xml+php动态载入与分页
Oct 09 #PHP
十天学会php之第七天
Oct 09 #PHP
十天学会php之第九天
Oct 09 #PHP
十天学会php之第十天
Oct 09 #PHP
十天学会php之第八天
Oct 09 #PHP
十天学会php之第五天
Oct 09 #PHP
You might like
PHP用户指南-cookies部分
2006/10/09 PHP
PHP5下$_SERVER变量不再受magic_quotes_gpc保护的弥补方法
2012/10/31 PHP
PHP实现的curl批量请求操作示例
2018/06/06 PHP
Laravel推荐使用的十个辅助函数
2019/05/10 PHP
图片自动更新(说明)
2006/10/02 Javascript
jQuery $.each的用法说明
2010/03/22 Javascript
自己实现string的substring方法 人民币小写转大写,数字反转,正则优化
2012/09/02 Javascript
使用JavaScript构建JSON格式字符串实现步骤
2013/03/22 Javascript
nodejs读取memcache示例分享
2014/01/02 NodeJs
在JS中如何调用JSP中的变量
2014/01/22 Javascript
jQuery中:eq()选择器用法实例
2014/12/29 Javascript
JS实现超精简响应鼠标显示二级菜单代码
2015/09/12 Javascript
Vue2.0实现将页面中表格数据导出excel的实例
2017/08/09 Javascript
基于vue组件实现猜数字游戏
2020/05/28 Javascript
微信小程序tabBar用法实例详解
2017/12/04 Javascript
vue+webpack实现异步加载三种用法示例详解
2018/04/24 Javascript
详解微信小程序canvas圆角矩形的绘制的方法
2018/08/22 Javascript
JS/HTML5游戏常用算法之碰撞检测 包围盒检测算法详解【矩形情况】
2018/12/13 Javascript
jQuery编写QQ简易聊天框
2020/08/27 jQuery
[01:12:08]LGD vs OG 2019国际邀请赛淘汰赛 胜者组 BO3 第一场 8.24
2019/09/10 DOTA
python实现的一个p2p文件传输实例
2014/06/04 Python
Flask框架Jinjia模板常用语法总结
2018/07/19 Python
使用PyInstaller将Pygame库编写的小游戏程序打包为exe文件及出现问题解决方法
2019/09/06 Python
Python对称的二叉树多种思路实现方法
2020/02/28 Python
python 截取XML中bndbox的坐标中的图像,另存为jpg的实例
2020/03/10 Python
Python 如何调试程序崩溃错误
2020/08/03 Python
Python模块常用四种安装方式
2020/10/20 Python
python中str内置函数用法总结
2020/12/27 Python
webapp字号大小跟随系统字号大小缩放的示例代码
2018/12/26 HTML / CSS
Html5页面上如何禁止手机虚拟键盘弹出
2020/03/19 HTML / CSS
万得城电器土耳其网站:欧洲第一大电子产品零售商
2016/10/07 全球购物
简历中自我评价怎么写
2014/02/12 职场文书
《宋庆龄故居的樟树》教学反思
2014/04/07 职场文书
法人委托书
2014/07/31 职场文书
2014年为民办实事工作总结
2014/12/20 职场文书
Python 详解通过Scrapy框架实现爬取CSDN全站热榜标题热词流程
2021/11/11 Python