程序師世界是廣大編程愛好者互助、分享、學習的平台,程序師世界有你更精彩!
首頁
編程語言
C語言|JAVA編程
Python編程
網頁編程
ASP編程|PHP編程
JSP編程
數據庫知識
MYSQL數據庫|SqlServer數據庫
Oracle數據庫|DB2數據庫
 程式師世界 >> 編程語言 >> 網頁編程 >> PHP編程 >> 關於PHP編程 >> PHPShop存在多個安全漏洞

PHPShop存在多個安全漏洞

編輯:關於PHP編程

  受影響系統:

  phpShop phpShop 0.6.1-b

  詳細描述:

  phpShop是一款基於PHP的電子商務程序,可方便的擴展WEB功能。phpShop存在多個安全問題,遠程攻擊者可以利用這些漏洞攻擊數據庫,獲得敏感信息,執行任意腳本代碼。

  具體問題如下:

  1、SQL注入漏洞:

  當更新會話時存在一個SQL注入問題,可以對"page"變量提交惡意SQL命令而修改原有SQL邏輯,同樣對"product_id"和"offset"變量進行注入也存在同樣問題。

  2、用戶信息洩露漏洞:

  通過查詢"account/shipto"模塊,可獲得大量客戶信息。如果用戶以合法帳戶登錄,也可能查看管理員信息。這些信息包括客戶的地址,公司名等等信息。

  3、跨站腳本執行攻擊:

  多個參數對用戶提交的URI參數缺少充分過濾,提交包含惡意HTML代碼的數據,可導致觸發跨站腳本攻擊,可能獲得目標用戶的敏感信息。

  目前廠商還沒有提供補丁或者升級程序。

 

  1. 上一頁:
  2. 下一頁:
Copyright © 程式師世界 All Rights Reserved