ECshop出现一个高危险的漏洞,有望高手和技术来帮忙解决

2016-07-07 14:55 来源:www.chinab4c.com 作者:ecshop专家

由于我们需要办一个证,所有必需要通过广东省软件测评中心的报告没问题才可以,结果出现用IBM Rational AppScan检测到ECshop出现了“会话标识未更新”下面附带两张图,其实漏洞并不只一个有很多,但是那些没什么影响就不管了。

主要有关的文件是两个脚本。。。
/user.php
admin/privilege.php

小弟试过很多方法都未能解决。。。。

真心希望有高手能帮忙解决下,万分感激。



登录过程前后会话标识的比较,显示它们并未更新,这表示有可能伪装用户。初步得知会话标识值后,远程攻击者有可能得以充当已登录的合法用户。 利用“跨站点脚本编制”漏洞可以获取会话标识值,导致受害者的浏览器在联系易受攻击的站点时使用预定的会话标识;启用“固定会话”也可以获取会话标识值,导致站点在受害者的浏览器中显示预定的会话标识。



检测出来的漏洞




解决方案








回答:
顶上,请高手帮忙

不能沉,望高手能解决

顶上,请高手帮忙