ecshop的修改版 ectouch 后台管理账号 暴露的漏洞 发送短信

最新推荐文章于 2022-10-20 15:37:29 发布
原创 最新推荐文章于 2022-10-20 15:37:29 发布 · 3.4k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文分析了Ecshop后台管理账号暴露的漏洞,特别是在发送短信功能中出现的问题。当短信接口的用户名密码配置错误时,可能会泄露管理员账号信息。文中探讨了这一安全风险,并提出了相应的修复建议。

ecshop 后台管理账号 暴露的漏洞 发送短信



ectouch 版本中的user.php


        } else {
//var_dump($_LANG);
//echo 'yonghu 存在';
//exit();
//login_failure  

// $sms_error     "用户名或密码不正确(U:admin P:0192023a7bbd73250516f069df18b500)"
            var_dump($sms_error);
            //发送邮件出错
            show_message($sms_error, $_LANG['back_page_up'], './', 'info');



        }


发送短信,如果 默认的短信接口 对应的用户名密码错误,,,会暴露 admin账号


$sms_error


======================

修复,

 show_message('短信接口用户名密码错误', $_LANG['back_page_up'], './', 'info');


ECTouch 电商微信小程序 SQL注入漏洞复现(CVE-2023-39560)
0xSec
01-20 1277
ECTouch 电商系统 /ectouch-main/include/apps/default/helpers/insert.php 文件中第285行的 insert_bought_notes 函数中,传入的 $arr['id'] 参数未进行验证和过滤,导致未经身份验证的攻击者利用该漏洞进行SQL注入,获取数据库敏感信息。
漏洞复现】CVE-2023-39560:ECTouch V2电商系统SQL注入 附POC
失心少年
12-18 1419
ECTouch是一款开源的电商系统,为中小企业提供最佳的新零售解决方案。MVC是一种将应用程序的逻辑层和表现层进行分离的方法。MVC分层有助于管理复杂的应用程序,因为您可以在一个时间内专门关注一个方面。技术文章仅供参考,任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得利用网络从事危害国家安全、荣誉和利益,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他!
ectouch2.0 php5.5_Ectouch2.0 分析解读代码审计流程
weixin_39682697的博客
12-21 404
0x1 目录结构显示目录结构:tree -L 2 -C -d├── _docs├── admin //默认后台目录│ ├── help│ ├── images│ ├── includes│ ├── js│ ├── styles│ └── templates├── api│ └── notify├── data //静态资源和系统缓存、配置目录│ ├── assets...
ecshop后台登录,提示您输入的帐号信息不正确
cherish_1c的博客
10-20 521
·登录后台显示,您输入的账号信息不正确
ECSHOP集合版ECTOUCH
08-25
**ECSHOP集合版ECTOUCH** ECSHOP是一款广泛应用的开源电子商务系统,而ECTOUCH则是其专门针对移动端设计的免费插件。这个集合版是将ECSHOPECTOUCH整合在一起,旨在为商家提供一个无缝对接的线上线下购物体验,...
ecshop合集官方最新版ecshop系统+五款最热简洁版模板+ECTouch手机触屏版+后台美化+已知BUG修复
12-10
4. 后台美化:后台管理系统是ECShop的核心组成部分,负责商品管理、订单处理、会员管理等操作。后台美化的意义在于提升管理员的工作效率和使用愉悦感,通过改进UI设计,使得各项功能更直观、操作更简便,有助于商家...
自用的ecshop3.6+ectouch2.7的完美无错
01-03
这个目前就是我们正在用的,没一点改变,只是把密码...整站核心是ecshop3.6,h5目录和mobile目录都可以做手机微信端,看你自己喜欢,因此一共三个后台管理。管理员:admin 密码:admin888 数据库链接密码默认:123456
ecshop3.6_ectouch2.7_h5_appservice.rar
06-09
其中,ECShop 主要负责后台管理和PC端网站的搭建,而 Ectouch 则专注于移动端的用户体验优化,特别是针对手机微信端的场景。此次分享的 "ecshop3.6_ectouch2.7_h5_appservice.rar" 压缩包,集成了这两个系统的最新...
Ectouch2.2.3微商城网站源码系统Ecshop手机版独立后台带微信支付
03-02
1. **独立后台管理**:Ectouch 提供了一个独立的后台管理系统,让管理员能够便捷地管理商品、订单、用户等数据,同时对网站的设置进行调整,无需登录 Ecshop 主站后台,提高了工作效率。 2. **微信支付集成**:集成...
ECTouch_v2.7.2_SC_UTF8程序文件
06-14
最新ECTOUCH 2.72版,下载运行安装皆可用,包含微信支付,公众号设置等等
ectouch 最新企业版 完美 版本
05-13
ectouch 最新企业版 完美微信支付
ecshop常见漏洞
10-30
ecshop存在一个盲注漏洞,问题存在于/api/client/api.php文件中,提交特制的恶意POST请求可进行SQL注入攻击,可获得敏感信息或操作数据库;跨站攻击; ECSHOP的配送地址页面网页没有验证地区参数的有效性,存在sql注入漏洞ecshop的后台编辑文件/admin/affiliate_ck.php中,对输入参数auid未进行正确类型转义,导致整型注入的发生;ecshop的后台编辑文件/admin/shophelp.php中 shopinfo.php ,对输入参数$_POST['id']未进行正确类型转义,导致整型注入的发生;ecshop的/admin/comment_manage.php中,对输入参数sort_by、sort_order未进行严格过滤,导致SQL注入;ECShop存在一个盲注漏洞,问题存在于/api/client/api.php文件中,提交特制的恶意POST请求可进行SQL注入攻击,可获得敏感信息或操作数据库; ECSHOP支付插件存在SQL注入漏洞,此漏洞存在于/includes/modules/payment/alipay.php文件中,该文件是ECshop的支付宝插件。由于ECShop使用了str_replace函数做字符串替换,黑客可绕过单引号限制构造SQL注入语句。只要开启支付宝支付插件就能利用该漏洞获取网站数据,且不需要注册登入;ecshop的/includes/lib_insert.php文件中,对输入参数未进行正确类型转义,导致整型注入的发生。
ectouch注册去邮箱的修改方法
weixin影子的博客
05-02 629
1.打开/mobile/themes/default/user_register.dwt   在81行左右找到:  注释或者删除2.打开/mobile/include/apps/default/controller/UserController.class.php    在1696行左右找到    注释或者删除3.打开/mobile/include/apps/default/model/Users...
ectouch 注册会员出错 ,密码找回问题不能为空。
论文数据分析辅导,;论文人工智能辅导 huazhongxiaosx
12-06 2082
ectouch 注册会员出错 ,密码找回问题不能为空。 wangtoro88 发表于 2015-09-10 17:59:49|只看该作者[复制链接] 2482 论坛 › ectouch-交流与讨论 › ectouch-安装使用 楼主 wangtoro88发表于 2015-9-10 17:59:49|只看
[ectouch 调试必备] 显示出错误信息
论文数据分析辅导,;论文人工智能辅导 huazhongxiaosx
11-26 1930
@ini_set('display_errors',       1); 搜索 ni_set('display_errors', 然后设置为 @ini_set('display_errors',       1);
ecshop修改后台登陆密码
weixin_33720078的博客
01-08 576
第一种:把下面的代码写入到reset.php中<?php define('IN_ECS',true); require(dirname(__FILE__).'/includes/init.php'); $sql='UPDATE'.$GLOBALS['ecs']->table('admin_user')."SETuser_name='adm...
ecshop修改后台地址入口
qqahanson的专栏
02-24 1675
修改ECSHOP2.7.3后台登录的路径 处于安全考虑我们在将站点建设到服务器上肯定不希望别人知道我们的后台目录 为此修改后台目录登录地址就有必要 方法: 1.安装后系统后重命名文件夹admin,如admin2012 2.打开配置文件:data/config.php 修改27行:define(‘ADMIN_PATH’,'admin’);中的admin字符为自己定义的目录,如admi
ECTOUCH短信接口替换
mindev的博客
09-25 717
ECTouch系统是一款免费开源的手机商城系统,采用国际标准HTML5+CSS3研发,便于二次开发,小编对这款软件还是比较了解的,今天小编就以替换短信接口为例一步一步教大家如何开发,进行替换的短信接口小编使用的是短信短信群发平台的短信接口,短信短信群发平台的短信接口非常稳定,发送速度快,注册还送测试短信,推荐大家使用。 我们首先修改短信的配置文件,打开项目/include/languages...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值