彻底解决ecshop任意网址跳转漏洞

2016-07-07 14:55 来源:www.chinab4c.com 作者:ecshop专家

ecshop的广告处理文件affiche.php存在任意网址跳转漏洞,该漏洞可能导致网站用户被钓鱼,造成不必要的损失,严重影响网站在用户中的形像!


任意网址跳转漏洞:恶意攻击者可以通过该漏洞,将用户访问的目标网站跳转到其它网站


顶亿网为affiche.php的跳转增加了黑名单和白名单的功能


可以有效的阻止ecshop的广告跳转链接被第三方利用


把每三方的一个域名加入黑名单,当访问时,就会提示:



如果不把每三方的一个域名加入白名单,当访问时,就会提示:



黑名单和白名单的设置方法,直接通过ftp在ecshop根目录的data文件夹里放置两个文本文件:




affiche_black.txt 黑名单文件,一行一个域名
affiche_white.txt白名单文件,一个一个域名

更详细的见http://bbs.topit.cn/thread-1571-1-1.html

希望对大家有帮助,原创分亨,转载请注明来自顶亿ecshop开发网 http://bbs.topit.cn/thread-1571-1-1.html

回答:
自已顶一个,看到很多ecshop网站的这个人任意网址跳转漏洞都被恶意利用了,所以开发了这个功能

多谢楼主分享~

顶一下吧技术贴

支持,非常好

好久好久没有来这里了,我的UID数值只怕是最小的了。现在的UID都到一千多万了。

http://item.taobao.com/item.htm?id=14312874609