网站模板库
  • 首页
  • web前端工具
    • HTML/JS转换工具
    • JS/HTML格式化工具
    • 字母/英文大小写转换工具
    • robots.txt文件生成工具
    • Js压缩/格式化工具
    • Css在线压缩工具_代码格式化
  • 关于我们
    • 免责声明
    • 联系我们
    • 广告服务
    • 服务项目
    • 关于我们
    • 网站轮播
    • 公告
    • 成都优优科技专用
    • 按行业分类
  • web学院
    • 服务器教程
    • 学习资料
      • 基础书籍
      • 交互书籍
      • 入门教程
      • 特效分类
    • 案例分享
    • web资讯
  • 网页特效
    • 图片特效
    • 导航特效
    • 滑动按钮
    • 表单特效
    • 文字特效
    • 弹窗特效
    • 其他特效
  • 织梦模板
    • 科技/电子/数码/通信
    • 文化/艺术/广告/传媒
    • 装修/设计/家居/家具
    • 基建/施工/地产/物业
    • 餐饮/酒店/旅游/票务
    • 食品/果蔬/饮料/日用
    • 服饰/珠宝/礼品/玩具
    • 摄影/婚庆/家政/生活
    • 运动/健身/体育/器材
    • 学校/教育/培训/科研
    • 美容/保健/医院/医疗
    • 金融/财税/咨询/法律
    • 政府/组织/集团/协会
    • 汽车/物流/交通/搬运
    • 机械/设备/制造/仪器
    • 化工/环保/能源/材料
    • 农业/畜牧/养殖/宠物
    • 其他模版
    • IT/软件/信息/互联网
  • 手机模板
    • 手机APP模板
    • 微信小程序模板
    • wap
  • 网站模板
    • joomla模板
    • Drupal模板
    • z-blog模板
    • EyouCms模板
    • Bootstrap模板
    • 帝国cms模板
    • CmsEasy模板
    • MetInfo模板
    • 购物商城模板
      • Shopify主题
      • PrestaShop主题
    • 后台模板
    • 纯HTML模板
    • ecshop模板
    • phpwind模板
    • pbootcms模板
    • phpcms模板
    • wordpress模板
    • discuz模板
  • 教程
    • 织梦教程
    • Discuz教程
    • WordPress教程
    • Phpcms教程
    • Phpwind教程
    • ECShop教程
    • Joomla教程
    • Drupal教程
    • zblog教程
    • EyouCMS教程
    • 帝国cms教程
    • MetInfo教程
    • CmsEasy教程
登录
当前位置:网站模板库 > 教程 > ECShop教程 > Ecshop防黑
admin ECShop教程 2020-09-09 7:26:19

Ecshop防黑

Ecshop防黑,第1张


Ecshop防黑(本文主要讲解Ecshop安装后出现的一些防黑问题)




一:确保ecshop模板是从正规途径获取,如果是不正当地址下载的,那可要小心了。模板基本无售后,而且容易被放一些木马或者后门,进入后台加暗链或者偷数据,根本难以察觉。
 

二:将后台密码设置成11位或者以上,再设置你的管理员姓名为中文,这样可以防止黑客通过md5解码获取你的后台
 

三:修改后台登陆路径,将admin文件夹名称 改成任意名称,比如ecmoban,再打开data/config.php这个文件 将里面的admin字样 也改成任意名称,比如ecmoban。那么你就可以从网站/ecmoban这个路径访问了
 

四:进入后台删除默认的、多余的管理员账号,最好只留一个主管理员账号
 

五:进后台 商店设置 - 基本设置 里面的附件上传大小 选择“0”,这样是为了防止就算进入后台 也很难上传木马附件等
 

六:随时关注官方论坛公告,及时更新补丁
 


防黑代码修改
 

1、ecshop的/includes/lib_insert.php文件中,对输入参数未进行正确类型转义,导致整型注入的发生。

修复方法:给insert_ads函数内加入下面代码

$arr['num'] = intval($arr['num']);

$arr['id'] = intval($arr['id']);

$arr['type'] = addslashes($arr['type']);

2、ECShop存在一个盲注漏洞,问题存在于/api/client/api.php文件中,提交特制的恶意POST请求可进行SQL注入攻击,可获得敏感信息或操作数据库。

修复方法:给API_UserLogin函数加入下面代码

if (get_magic_quotes_gpc())

  {
      $post['UserId'] = $post['UserId']
        }
  else
  {    
            $post['UserId'] = addslashes($post['UserId']);
  }



3、ecshop的后台编辑文件/admin/article.php等中,对输入参数$_POST[‘id’]未进行正确类型转义,导致整型注入的发生。

修复方法:分别给其中的if ($_REQUEST['act'] == 'update')部分加入下面代码

$_POST['id'] = intval($_POST['id']);

4、ecshop没有对会员注册处/admin/integrate.php的username过滤,保存重的用户信息时,可以直接写入shell。

修复方法:将$code = empty($_GET['code']) ? '' : trim($_GET['code']);替换为下面代码

$code = empty($_GET['code']) ? '' : trim(addslashes($_GET['code']));

5. ecshop文件/admin/affiliate_ck.php中,对输入参数auid未进行正确类型转义,导致整型注入的发生。

修复方法给其公共部分加入下面代码

$_GET['auid'] = intval($_GET['auid']);

6、ecshop的/admin/comment_manage.php中,对输入参数sort_by、sort_order未进行严格过滤,导致SQL注入。

修复方法:将其get_comment_list函数内的$filter['sort_by']、$filter['sort_order']修改为下面代码

$filter['sort_by'] = empty($_REQUEST['sort_by']) ? 'add_time' : trim(htmlspecialchars($_REQUEST['sort_by']));

$filter['sort_order'] = empty($_REQUEST['sort_order']) ? 'DESC' : trim(htmlspecialchars($_REQUEST['sort_order']));

7、ECSHOP支付插件存在SQL注入漏洞,此漏洞存在于/includes/modules/payment/alipay.php文件中,该文件是ECshop的支付宝插件。

由于ECShop使用了str_replace函数做字符串替换,黑客可绕过单引号限制构造SQL注入语句。

只要开启支付宝支付插件就能利用该漏洞获取网站数据,且不需要注册登入。

修复方法:将$order_sn = trim($order_sn);替换为下面代码

$order_sn = trim(addslashes($order_sn));

8、漏洞成因在于user.php文件会直接带入SQL语句操作数据库的用户可控变量。

由于ECShopGBK版本采用GBK编码(宽字符编码),攻击者可通过传入半个字符的方式绕过对单引号的转义,故导致SQL注入漏洞。

修复方法:给$username = json_str_iconv($username);下方加入下面代码

$username = str_replace('/', '', stripslashes($username));




      

      

      
DABAN RP主题是一个优秀的主题,极致后台体验,无插件,集成会员系统
网站模板库 » Ecshop防黑

    

    

          

    

      

        admin
		 钻石      

    

  

      

      分享到:
                 
            
      
              
        

  
    

  




  

    

        上一篇
Ecshop安装
        下一篇
Ecshop网站优化
    

  


      
      

        
相关推荐

        

                     

              

                      

        

          
            Ecshop服务器配置
          
                  

              

                      

                  
  
    
    
Ecshop服务器配置
  
                

              

            

		             

              

                      

        

          
            Ecshop防黑
          
                  

              

                      

                  
  
    
    
Ecshop防黑
  
                

              

            

		             

              

                      

        

          
            Ecshop网站优化
          
                  

              

                      

                  
  
    
    
Ecshop网站优化
  
                

              

            

		             

              

                      

        

          
            Ecshop网站修改
          
                  

              

                      

                  
  
    
    
Ecshop网站修改
  
                

              

            

		         

      

    
  


    

            
0条评论


            
                


                    

        		

		
发表评论 取消回复
		
要发表评论,您必须先登录。

				

		    







	
	

		

			提供最优质的资源集合		

					立即查看
							了解详情
			





    

        

            

                

                    网站模板库
                

                
主题/付费下载/查看/余额管理/自定义积分,集成支付,卡密,推广奖励等。

            

        

        
        

            

                
本站导航

            

            

                
    
                    
  • 链接标题
    •                 

            

        

        
        

            

                
友情链接

            

            

                
    
                    
  • 链接标题
    •                 

            

        

        
        

            

                
快速搜索

            

            

                

					
                    
                    
                

                
本站由钛宇宙强力驱动

            

        


    


友情链接:
    商业源码网蜀ICP备2023005044号
    
    
    
        
    
            
    
                网站模板库
                    
                    
      
                        
    • 登录
                        
      • 
                        
    • 注册
                        
      • 
                    
    
                    
                    
    
                        
    
                            
    
                                
    
                                                                                                                
    
                                            
                                        
    
                                        
    
                                            
                                        
    
                                        
                                                                    
    
                                
                            
    
                            
                        
    
                        
    
                            
    
                                                                                                    
    
                                        
                                    
    
                                    
                                    
    
                                        
                                    
    
                                    
                                    
    
                                        
                                    
    
                                    
    
                                        
                                    
    
                                                                        
                                                                
                            
    
                            
                        
    
                    
    
                                
    
            
        
    
        
    
    
    

    

    
  
    
  
    
      
      网站模板库
    
    
    
  
    • 首页
    • web前端工具►
      • HTML/JS转换工具
      • JS/HTML格式化工具
      • 字母/英文大小写转换工具
      • robots.txt文件生成工具
      • Js压缩/格式化工具
      • Css在线压缩工具_代码格式化
    • 关于我们►
      • 免责声明
      • 联系我们
      • 广告服务
      • 服务项目
      • 关于我们
      • 网站轮播
      • 公告
      • 成都优优科技专用
      • 按行业分类
    • web学院►
      • 服务器教程
      • 学习资料►
        • 基础书籍
        • 交互书籍
        • 入门教程
        • 特效分类
      • 案例分享
      • web资讯
    • 网页特效►
      • 图片特效
      • 导航特效
      • 滑动按钮
      • 表单特效
      • 文字特效
      • 弹窗特效
      • 其他特效
    • 织梦模板►
      • 科技/电子/数码/通信
      • 文化/艺术/广告/传媒
      • 装修/设计/家居/家具
      • 基建/施工/地产/物业
      • 餐饮/酒店/旅游/票务
      • 食品/果蔬/饮料/日用
      • 服饰/珠宝/礼品/玩具
      • 摄影/婚庆/家政/生活
      • 运动/健身/体育/器材
      • 学校/教育/培训/科研
      • 美容/保健/医院/医疗
      • 金融/财税/咨询/法律
      • 政府/组织/集团/协会
      • 汽车/物流/交通/搬运
      • 机械/设备/制造/仪器
      • 化工/环保/能源/材料
      • 农业/畜牧/养殖/宠物
      • 其他模版
      • IT/软件/信息/互联网
    • 手机模板►
      • 手机APP模板
      • 微信小程序模板
      • wap
    • 网站模板►
      • joomla模板
      • Drupal模板
      • z-blog模板
      • EyouCms模板
      • Bootstrap模板
      • 帝国cms模板
      • CmsEasy模板
      • MetInfo模板
      • 购物商城模板►
        • Shopify主题
        • PrestaShop主题
      • 后台模板
      • 纯HTML模板
      • ecshop模板
      • phpwind模板
      • pbootcms模板
      • phpcms模板
      • wordpress模板
      • discuz模板
    • 教程►
      • 织梦教程
      • Discuz教程
      • WordPress教程
      • Phpcms教程
      • Phpwind教程
      • ECShop教程
      • Joomla教程
      • Drupal教程
      • zblog教程
      • EyouCMS教程
      • 帝国cms教程
      • MetInfo教程
      • CmsEasy教程
    
  
    
      
    

      弹窗标题
      这是一条网站公告,可在后台开启或关闭,可自定义背景颜色,标题,内容,用户首次打开关闭后不再重复弹出,此处可使用html标签...