关于ecshop任意网址跳转漏洞如何修补
2016-09-11 20:39 来源:www.chinab4c.com 作者:ecshop专家
在ecshop后台添加广告,在前台显示的链接地址为: “affiche.php?ad_id=1&uri=http%3A%2F%2Fwww.ecshoptemplate.com/”
它中间用 affiche.php 做了一个过渡,目的在于统计广告效果等。但是这个可以任意跳转到 别的 URL,是一个 严重的BUG漏洞。
若有黑客恶意拿这个地址去发送广告网址,还以为是自己站里的内容。那么必须修改好这个漏洞。
可以这样来修改:
打开 /includes/lib_insert.php 文件
找到
$ads[] = "<a href='affiche.php?ad_id=$row[ad_id]&uri=" .urlencode($row["ad_link"]). "'
修改为
$ads[] = "<a href='" .$row["ad_link"]. "'
注意:一共有两处都要注意修改。 记住保存!
最近更新
常用插件
- ecshop二次开发商品购买增
图片1香...
- ecshop最小购买数量控制插
ecshop最小购买数量控制插件,这个插件主要是为我们提供一个十分方便...
- ecshop2.7.2生成虚拟订单2.
以前我们开发过ecshop下的虚拟订单,就是客户在访问的时候,会自动生...
- ecshop2.7.1邮件发送插件
ecshop2.7.1邮件发送插件:该插件主要的开发思想是源于ecshop短信发送系统...
- ecshop没登陆情况下订单查
ecshop没登陆情况下订单查询插件,主要是针对ecshop在没有登陆的情况下...