ecshop affiche.php的问题~!

2016-07-07 15:20 来源:www.chinab4c.com 作者:ecshop专家

打开主页的时候弹出
Object #<a Document> has no method 'load'
在QQ浏览器下有弹出这个,在IE下没有,不过左下角有错误信息,相信信息显示:
网页错误详细信息

用户代理: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0)
时间戳: Fri, 25 Feb 2011 10:06:20 UTC


消息: 语法错误
行: 1
字符: 1
代码: 0
URI: http://www.******.com/affiche.php?act=js&type=0&ad_id=62&from=%E6%B3%A2%E6%B3%A2%E7%90%83&charset=GB2312


消息: 语法错误
行: 1
字符: 1
代码: 0
URI: http://www.******.com/affiche.php?act=js&type=0&ad_id=35&from=%E7%BB%BC%E5%90%88%E4%B8%BB%E9%A1%B5&charset=GB2312


消息: 语法错误
行: 1
字符: 1
代码: 0
URI: http://www.******.com/affiche.php?act=js&type=0&ad_id=36&from=%E7%BB%BC%E5%90%88%E4%B8%BB%E9%A1%B5&charset=GB2312


消息: 语法错误
行: 1
字符: 1
代码: 0
URI: http://www.******.com/affiche.php?act=js&type=0&ad_id=37&from=%E7%BB%BC%E5%90%88%E4%B8%BB%E9%A1%B5&charset=GB2312


消息: 语法错误
行: 1
字符: 1
代码: 0
URI: http://www.******.com/affiche.php?act=js&type=0&ad_id=38&from=%E7%BB%BC%E5%90%88%E4%B8%BB%E9%A1%B5&charset=GB2312


消息: 语法错误
行: 1
字符: 1
代码: 0
URI: http://www.******.com/affiche.php?act=js&type=0&ad_id=40&from=%E7%BB%BC%E5%90%88%E4%B8%BB%E9%A1%B5&charset=GB2312


消息: 语法错误
行: 1
字符: 1
代码: 0
URI: http://www.******.com/affiche.php?act=js&type=0&ad_id=41&from=%E7%BB%BC%E5%90%88%E4%B8%BB%E9%A1%B5&charset=GB2312


消息: 语法错误
行: 1
字符: 1
代码: 0
URI: http://www.******.com/affiche.php?act=js&type=0&ad_id=42&from=%E7%BB%BC%E5%90%88%E4%B8%BB%E9%A1%B5&charset=GB2312


消息: 语法错误
行: 1
字符: 1
代码: 0
URI: http://www.******.com/affiche.php?act=js&type=0&ad_id=43&from=%E7%BB%BC%E5%90%88%E4%B8%BB%E9%A1%B5&charset=GB2312


消息: 语法错误
行: 1
字符: 1
代码: 0
URI: http://www.******.com/affiche.php?act=js&type=0&ad_id=44&from=%E7%BB%BC%E5%90%88%E4%B8%BB%E9%A1%B5&charset=GB2312


消息: 语法错误
行: 1
字符: 1
代码: 0
URI: http://www.******.com/affiche.php?act=js&type=0&ad_id=39&from=%E7%BB%BC%E5%90%88%E4%B8%BB%E9%A1%B5&charset=GB2312


消息: 语法错误
行: 1
字符: 1
代码: 0
URI: http://www.******.com/affiche.php?act=js&type=0&ad_id=45&from=%E7%BB%BC%E5%90%88%E4%B8%BB%E9%A1%B5&charset=GB2312


消息: 语法错误
行: 1
字符: 1
代码: 0
URI: http://www.******.com/affiche.php?act=js&type=0&ad_id=46&from=%E7%BB%BC%E5%90%88%E4%B8%BB%E9%A1%B5&charset=GB2312


消息: 语法错误
行: 1
字符: 1
代码: 0
URI: http://www.******.com/affiche.php?act=js&type=0&ad_id=47&from=%E7%BB%BC%E5%90%88%E4%B8%BB%E9%A1%B5&charset=GB2312


消息: 语法错误
行: 1
字符: 1
代码: 0
URI: http://www.******.com/affiche.php?act=js&type=0&ad_id=48&from=%E7%BB%BC%E5%90%88%E4%B8%BB%E9%A1%B5&charset=GB2312


消息: 语法错误
行: 1
字符: 1
代码: 0
URI: http://www.******.com/affiche.php?act=js&type=0&ad_id=49&from=%E7%BB%BC%E5%90%88%E4%B8%BB%E9%A1%B5&charset=GB2312


消息: 语法错误
行: 1
字符: 1
代码: 0
URI: http://www.******.com/affiche.php?act=js&type=0&ad_id=50&from=%E7%BB%BC%E5%90%88%E4%B8%BB%E9%A1%B5&charset=GB2312


消息: 语法错误
行: 1
字符: 1
代码: 0
URI: http://www.******.com/affiche.php?act=js&type=0&ad_id=51&from=%E7%BB%BC%E5%90%88%E4%B8%BB%E9%A1%B5&charset=GB2312


消息: 语法错误
行: 1
字符: 1
代码: 0
URI: http://www.******.com/affiche.php?act=js&type=0&ad_id=52&from=%E7%BB%BC%E5%90%88%E4%B8%BB%E9%A1%B5&charset=GB2312


消息: 语法错误
行: 1
字符: 1
代码: 0
URI: http://www.******.com/affiche.php?act=js&type=0&ad_id=53&from=%E7%BB%BC%E5%90%88%E4%B8%BB%E9%A1%B5&charset=GB2312


消息: 语法错误
行: 1
字符: 1
代码: 0
URI: http://www.******.com/affiche.php?act=js&type=0&ad_id=54&from=%E7%BB%BC%E5%90%88%E4%B8%BB%E9%A1%B5&charset=GB2312

回答:
在网上查了下发现一篇文章:
ecshop affiche.php广告调用页消息头写入暴路径
发布日期:2010-08.31
发布作者:blue
影响版本:未知
官方地址:www.ecshop.com
漏洞类型:信息泄露
漏洞描述:/affiche.php,php5环境提示错误暴露程序路径,php4环境显示写入的信息

详细说明:charset参数未做严谨过滤导致http消息头截断写入


漏洞证明:http://localhost/test/ecshop/affiche.php?act=js&type=3&from=xxx&ad_id=1&charset=GBK%0D%0A%0D%0AHTTP/1.1%20200%20OK%0D%0A%0D%0AContent-Type:%20text/html%0D%0A%0D%0AContent-Length:%2035%0D%0A%0D%0A%3Chtml%3Exxx%3C/html%3E%0D%0A%0D%0A


修复方案:过滤参数

不知道是否有这回事?另外修复方案说的 过滤参数 要怎么弄?求详解!!谢谢!!!

先看下是否文件编码不对

affiche.php的编码?是对的啊
另外出了这个情况后,首页所有JS调用的广告图都不能显示了!

斑竹!救命啊!

后台文件校验一下看有没有修改过文件