PHPShop存在多个安全漏洞


Posted in PHP onOctober 09, 2006

受影响系统:

phpShop phpShop 0.6.1-b

详细描述:

phpShop是一款基于PHP的电子商务程序,可方便的扩展WEB功能。phpShop存在多个安全问题,远程攻击者可以利用这些漏洞攻击数据库,获得敏感信息,执行任意脚本代码。

具体问题如下:

1、SQL注入漏洞:

当更新会话时存在一个SQL注入问题,可以对"page"变量提交恶意SQL命令而修改原有SQL逻辑,同样对"product_id"和"offset"变量进行注入也存在同样问题。

2、用户信息泄露漏洞:

通过查询"account/shipto"模块,可获得大量客户信息。如果用户以合法帐户登录,也可能查看管理员信息。这些信息包括客户的地址,公司名等等信息。

3、跨站脚本执行攻击:

多个参数对用户提交的URI参数缺少充分过滤,提交包含恶意HTML代码的数据,可导致触发跨站脚本攻击,可能获得目标用户的敏感信息。

目前厂商还没有提供补丁或者升级程序。

 

PHP 相关文章推荐
分享PHP入门的学习方法
Jan 02 PHP
php 无法加载mcrypt.dll的解决办法
Apr 03 PHP
smarty内置函数config_load用法实例
Jan 22 PHP
php延迟静态绑定实例分析
Feb 08 PHP
深入浅析php中sprintf与printf函数的用法及区别
Jan 08 PHP
php代码架构的八点注意事项
Jan 25 PHP
php格式化json函数示例代码
May 12 PHP
PHP利用超级全局变量$_POST来接收表单数据的实例
Nov 05 PHP
visual studio code 调试php方法(图文详解)
Sep 15 PHP
tp5(thinkPHP5)框架连接数据库的方法示例
Dec 24 PHP
PHP+百度AI OCR文字识别实现了图片的文字识别功能
May 08 PHP
配置最新的PHP加MYSQL服务器
Oct 09 #PHP
xml+php动态载入与分页
Oct 09 #PHP
十天学会php之第七天
Oct 09 #PHP
十天学会php之第九天
Oct 09 #PHP
十天学会php之第十天
Oct 09 #PHP
十天学会php之第八天
Oct 09 #PHP
十天学会php之第五天
Oct 09 #PHP
You might like
PHP中几个常用的魔术常量
2012/02/23 PHP
解析PHP中DIRECTORY_SEPARATOR,PATH_SEPARATOR两个常量的作用
2013/06/21 PHP
解析thinkphp中的M()与D()方法的区别
2013/06/22 PHP
php导入csv文件碰到乱码问题的解决方法
2014/02/10 PHP
php CI框架插入一条或多条sql记录示例
2014/07/29 PHP
ThinkPHP有变量的where条件分页实例
2014/11/03 PHP
PHP大文件切割上传功能实例分析
2019/07/01 PHP
tbody元素支持嵌套的注意方法
2007/03/24 Javascript
javascript 日期常用的方法
2009/11/11 Javascript
js 省地市级联选择
2010/02/07 Javascript
toString()一个会自动调用的方法
2010/02/08 Javascript
jquery的Theme和Theme Switcher使用小结
2010/09/08 Javascript
基于javascript实现随机颜色变化效果
2016/01/14 Javascript
JS实现兼容火狐及IE iframe onload属性的遮罩层隐藏及显示效果
2016/08/23 Javascript
jQuery移除或禁用html元素点击事件常用方法小结
2017/02/10 Javascript
JavaScript实现的原生态兼容IE6可调可控滚动文字功能详解
2017/09/19 Javascript
浅谈JavaScript find 方法不支持IE的问题
2017/09/28 Javascript
详解angular2如何手动点击特定元素上的点击事件
2018/10/16 Javascript
实例讲解JavaScript预编译流程
2019/01/24 Javascript
JS原型prototype和__proto__用法实例分析
2020/03/14 Javascript
Vue结合路由配置递归实现菜单栏功能
2020/06/16 Javascript
python 创建弹出式菜单的实现代码
2017/07/11 Python
Python探索之自定义实现线程池
2017/10/27 Python
2018年Python值得关注的开源库、工具和开发者(总结篇)
2018/01/04 Python
Python实现ping指定IP的示例
2018/06/04 Python
Django2.1.3 中间件使用详解
2018/11/26 Python
python os.fork() 循环输出方法
2019/08/08 Python
英国最大的汽车交易网站:Auto Trader UK
2016/09/23 全球购物
Myprotein意大利官网:欧洲第一运动营养品牌
2018/11/22 全球购物
真正的英国宝藏:Mappin & Webb
2019/05/05 全球购物
2019年c语言经典面试题目
2016/08/17 面试题
Servlet都有哪些方法?主要作用是什么?
2014/03/04 面试题
技术总监岗位职责
2013/12/05 职场文书
生日邀请函范文
2014/01/13 职场文书
react中的DOM操作实现
2021/06/30 Javascript
教你修复 Win11应用商店加载空白问题
2021/12/06 数码科技