shopex4.5 product viewpic XSS漏洞和绕过验证码漏洞修复

字数统计: 167字   |   阅读时长: 1分   |  本文总阅读量0

1.product viewpic XSS漏洞 原因: viewpic处未正确转义,形成漏洞,可以跨站脚本攻击 修复方法: 在core\shop\controller\ctl.product.php,找到function viewpic($goodsid, $selected=’def’),在其下面一行添加 $goodsid = intval($goodsid); 保存,问题解决 2.绕过验证码问题 原因: shopex后台登录的验证码在第一次检验未通过后,并没有清除第一次存在session中验证码,所以可以通过特定的程序来暴力重试破解。 修复方法: 在core/admin/controller/ctl.passport.php中找到

1
$_SESSION``[``'loginmsg'``] = __(“验证码输入错误!”);

在下面添加

1
$_SESSION``[``'RANDOM_CODE'``] = ”;

保存,修复成功

本文作者: 艾瑞可erik
本文链接: https://erik.xyz/2014/10/29/shopex4-5-product-viewpic-xss-lou-dong-he-rao-guo-yan-zheng-ma-lou-dong-xiu-fu/
版权声明: 本作品采用 知识共享署名-非商业性使用-相同方式共享 4.0 国际许可协议 进行许可。转载请注明出处!

一只PHP开发的程序猿,偶尔搞搞摄影、画画、写作、顺便睡觉。

支付宝
微信

扫一扫,分享到微信

微信分享二维码

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true

<ul> <li>介绍:已有十多年开发经验,主要语言PHP、Web、Go、Java、Python等,有涉及R、Rust、Ruby。 最大的收获就是学好一门语言,其他的更好学。</li> <li>站长:艾瑞可erik</li> <li>邮箱:erik@erik.xyz</li></ul>