PHPShop存在多个安全漏洞_php基础

  受影响系统:

  phpShop phpShop 0.6.1-b

  详细描述:

  phpShop是一款基于PHP的电子商务程序,可方便的扩展WEB功能。phpShop存在多个安全问题,远程攻击者可以利用这些漏洞攻击数据库,获得敏感信息,执行任意脚本代码。

  具体问题如下:

  1、SQL注入漏洞:

  当更新会话时存在一个SQL注入问题,可以对"page"变量提交恶意SQL命令而修改原有SQL逻辑,同样对"product_id"和"offset"变量进行注入也存在同样问题。

  2、用户信息泄露漏洞:

  通过查询"account/shipto"模块,可获得大量客户信息。如果用户以合法帐户登录,也可能查看管理员信息。这些信息包括客户的地址,公司名等等信息。

  3、跨站脚本执行攻击:

  多个参数对用户提交的URI参数缺少充分过滤,提交包含恶意HTML代码的数据,可导致触发跨站脚本攻击,可能获得目标用户的敏感信息。

  目前厂商还没有提供补丁或者升级程序。

 

时间: 2024-10-26 10:36:36

PHPShop存在多个安全漏洞_php基础的相关文章

phpBB BBcode处理的漏洞_php基础

发布日期:2002-04-3 漏洞类别:PHP,远程WEB接口,拒绝服务 bugtraq ID 4432.4434 存在问题的版本:     phpBB 1.44,更低的版本及 phpBB 2.0 未测试. 描述:     phpBB是一个被广泛应用的基于PHP的论坛.发现其BBcode中对于"源代码"类的引用处 理存在漏洞,通过发送特殊格式的转义字符串可导致数据库的损坏以及服务器的 CPU.内存 资源大量消耗. 详细:     phpBB在对"源代码"类的引用处理

PHP默认安装产生系统漏洞_php基础

这一个漏洞在 packetstorm 被发表,我把它翻成中文,加上自己的一些注解,希望对在 NT 上执行PHP 的朋友有一些帮助. 当你下载 PHP 後,在它内含的安装文件中帮助了 PHP 在 NT + Apache Web Server 的安装方式,其中的安装帮助会要你将底下这几行设置加到 apache 的 httpd.conf 设置文件中,而这个安装文件将导引你将你的系统门户大开. 这几行命令为: ScriptAlias /php/ "c:/php/"AddType applica

PHP3 safe_mode 失效漏洞_php基础

受影响的系统:  PHP 3.00  -------------------------------------------------------------------------------- 描述:     PHP Version 3.0是一个HTML嵌入式脚本语言.其大多数语法移植于C.Java和Perl并结合了 PHP的特色.这个语言可以让web开发者快速创建动态网页.     因其执行在web服务器上并允许用户执行代码,PHP内置了称为'safe_mode'的安全特性, 用于控制在

如何对PHP程序中的常见漏洞进行攻击_php基础

来源:Chinaasp 之所以翻译这篇文章,是因为目前关于CGI安全性的文章都是拿Perl作为例子,而专门介绍ASP,PHP或者JSP安全性的文章则很少.Shaun Clowes的这篇文章比较全面地介绍了PHP的安全问题,原文可以在http://www.securereality.com.au/stu...arlet.txt找到. 由于原文比较长,而且有相当一部分是介绍文章的背景或PHP的基础知识,没有涉及到PHP安全方面的内容,因此我没有翻译.如果你想了解这方面的知识,请参考原文. 文章主要从

如何对PHP程序中的常见漏洞进行攻击(上)_php基础

如何对PHP程序中的常见漏洞进行攻击(上) 翻译:analysist(分析家) 来源:http://www.china4lert.org 如何对PHP程序中的常见漏洞进行攻击(上) 原著:Shaun Clowes <http://www.securereality.com.au/> 翻译:analysist <http://www.nsfocus.com/> 之所以翻译这篇文章,是因为目前关于CGI安全性的文章都是拿Perl作为例子,而专门介绍ASP,PHP或者JSP安全性的文章则

如何对PHP程序中的常见漏洞进行攻击(下)_php基础

如何对PHP程序中的常见漏洞进行攻击(下) 翻译:analysist(分析家) 来源:http://www.china4lert.org 如何对PHP程序中的常见漏洞进行攻击(下) 原著:Shaun Clowes <http://www.securereality.com.au/> 翻译:analysist <http://www.nsfocus.com/> [库文件] 正如我们前面讨论的那样,include()和require()主要是为了支持代码库,因为我们一般是把一些经常使用

PHPShop存在多个安全漏洞

安全|安全漏洞 受影响系统: phpShop phpShop 0.6.1-b 详细描述: phpShop是一款基于PHP的电子商务程序,可方便的扩展WEB功能.phpShop存在多个安全问题,远程攻击者可以利用这些漏洞攻击数据库,获得敏感信息,执行任意脚本代码. 具体问题如下: 1.SQL注入漏洞: 当更新会话时存在一个SQL注入问题,可以对"page"变量提交恶意SQL命令而修改原有SQL逻辑,同样对"product_id"和"offset"变

坏狼的PHP学习教程之第1天_php基础

先培养对php的兴趣,就先了解php相对其他程序的优点.其实优点很多了.主要列举以下几点. php能做任何事情,例如收集表单数据,生成动态网页,或者发送/接收 Cookies.但 PHP 的功能远不局限于此. asp--------- 1.微软平台,花钱买. 2.漏洞多.非开源,很多代码运行环境用法具体内容不公布. 3.效能差.服务器系统. 4.程式传写不结构化. 5.除错不容易.错误不好修改. 6.组件支持复杂多. jsp--------- 1.对硬件要求高. 2.要有java基础. 3.除错

分享十款最出色的PHP安全开发库中文详细介绍_php基础

1. PHP入侵检测系统 PHP IDS(即PHP-入侵检测系统)是一套易于使用.结构良好.速度出色且专门面向PHP类Web应用程序的先进安全层.这套入侵检测系统既不提供任何缓和及杀毒机制,也不会对恶意输入内容进行过滤,其作用单纯为识别出攻击者们针对站点进行的恶意活动.并以大家需要的方式作出及时提醒.凭借着一整套经过实践检验及相当严格的过滤规则,该检测系统会针对任何攻击活动给出一个影响评级数值,从而帮助用户更轻松地了解应如何应对当前出现的黑客攻击.具体应对方式多种多样,包括简单将日志纪录通过紧急