ECshop出现一个高危险的漏洞,有望高手和技术来帮忙解决
2016-07-07 14:55 来源:www.chinab4c.com 作者:ecshop专家
| 由于我们需要办一个证,所有必需要通过广东省软件测评中心的报告没问题才可以,结果出现用IBM Rational AppScan检测到ECshop出现了“会话标识未更新”下面附带两张图,其实漏洞并不只一个有很多,但是那些没什么影响就不管了。 主要有关的文件是两个脚本。。。 /user.php admin/privilege.php 小弟试过很多方法都未能解决。。。。  真心希望有高手能帮忙解决下,万分感激。  登录过程前后会话标识的比较,显示它们并未更新,这表示有可能伪装用户。初步得知会话标识值后,远程攻击者有可能得以充当已登录的合法用户。 利用“跨站点脚本编制”漏洞可以获取会话标识值,导致受害者的浏览器在联系易受攻击的站点时使用预定的会话标识;启用“固定会话”也可以获取会话标识值,导致站点在受害者的浏览器中显示预定的会话标识。 检测出来的漏洞 解决方案 |
回答:
| 顶上,请高手帮忙 |
| 不能沉,望高手能解决 |
| 顶上,请高手帮忙 |
最近更新
常用插件
- ecshop2.7.1打印发货单插件
ecshop2.7.1打印发货单插件介绍:ecshop2.7.1和以前的ecshop版本不一样,ecs...
- ecshop分类批量扩展插件
ecshop分类批量扩展插件,这个插件是ecshop插件里面比较核心的插件。我们...
- ecshop二次开发详细页面生
插件介绍: ECSHOP系统,在很多时候,很多商品没有人购买,不但购买的人...
- ecshop二次商品订购人信息
ecshop二次商品订购人信息填写插件,有时候给朋友送花,或者是送礼品的...
- ecshop商品分类名称增加样
ecshop插件介绍:本插件可以方便在后台管理,为ecshop商品分类名称增加样...
ecshop热门问答
ecshop热门资料
ecshopfiles
ecshop部落格
ecshopNotice
ecshop材质
ecshop超值
ecshop巴巴
ecshop收款
ecshop引致
ecshop需求
ecshop托管
ecmall标签
ecshop断行
ecshop方格
ecshop匿名订单
ecshop手机号码
ecshop收录
ecshop生意兴隆
ecshop遗漏
ecshop关于团购
ecshop虚拟卡购买
ecshop中介
ecshop浏览者
ecshop细化
ecshopSocket
ecshop支付宝登录
ecshop技术员
ecshop走秀网
ecshop单模
ecshopunknown sender
ecshop金额