分类分类
更新时间:2026-04-09 17:07:05作者:fang
Ecshop pages.lbi.php Xss漏洞,search.php注入漏洞,Ecshop version XSS漏洞
1.Ecshop pages.lbi.php Xss漏洞
先来分析这个漏洞的原因:
直接访问temp/compiled/pages.lbi.php时,浏览源文件,会发现如下代码:
<form action=”temp/compiled/pages.lbi.php” method=”get”>
显然这个form是不完全的。当构造这样的url访问时,会造成在客户端执行代码:
temp/compiled/pages.lbi.php/”</form><sCripT>alert(/cfreer/)</scRipt>
很显然,这个漏洞的原理就是闭合了这个form再在客户端执行javascript.
然后分析出现不闭合form的原因,打开page.lbi.php文件,可以看到如下代码
<form action=”<?php echo $_SERVER[‘PHP_SELF’]; ?>” method=”get”> <?php if ($this->_var[‘pager’][‘styleid’] == 0): ?>
这里执行$this的时候就出现错误了,,因为没有进行template的初始化。
既然找到原因了,下面给出解决办法:
打开page.lbi文件,在第二行插入如下代码:
<?php if (!defined(‘IN_ECS’)) { die(‘Hacking attempt’); } ?>
2.search.php注入漏洞
search.php
大概300 源
if (is_not_null($val) )
修改为
if (is_not_null($val) && is_numeric($key))
就可以了
3.Ecshop version XSS漏洞
打开/admin/receive.php文件中,搜索如下代码:
$version=$_GET[‘version’];
修改为如下代码:
$version=htmlspecialchars($_GET[‘version’]);
以上就是本文章的内容,希望对大家有所帮助
相关
傲视神魔传手游策略游戏13.55 Mv1.0.02026-04-09
下载三国志王道天下策略游戏2.18Gv0.9.8.12026-04-09
下载风云三国手机版策略游戏213.99 M2026-04-09
下载星之海手机版角色扮演2.78Gv1.1.598772026-04-09
下载迪士尼梦幻王国经营养成79.34 Mv11.5.0h2026-04-09
下载TapAim动作射击97.92 Mv2.0.12026-04-09
下载肖邦大冒险九游版策略游戏133.64 Mv1.02026-04-09
下载放松时光与你共享Lo-Fi故事休闲益智951.66 Mv1.4.62026-04-09
下载羽毛球对决体育竞技175.66 Mv4.12026-04-09
下载假面骑士泽兹变身模拟器休闲益智51.91 Mv1.00.302026-04-09
下载餐车厨师烹饪游戏苹果版模拟游戏327.2 Mv8.682026-04-09
下载最终幻想7永恒危机ios版角色游戏1.5Gv3.6.02026-04-09
下载
