PHPShop存在多个安全漏洞
2006-10-09 00:00
477 查看
受影响系统:
phpShop phpShop 0.6.1-b
详细描述:
phpShop是一款基于PHP的电子商务程序,可方便的扩展WEB功能。phpShop存在多个安全问题,远程攻击者可以利用这些漏洞攻击数据库,获得敏感信息,执行任意脚本代码。
具体问题如下:
1、SQL注入漏洞:
当更新会话时存在一个SQL注入问题,可以对"page"变量提交恶意SQL命令而修改原有SQL逻辑,同样对"product_id"和"offset"变量进行注入也存在同样问题。
2、用户信息泄露漏洞:
通过查询"account/shipto"模块,可获得大量客户信息。如果用户以合法帐户登录,也可能查看管理员信息。这些信息包括客户的地址,公司名等等信息。
3、跨站脚本执行攻击:
多个参数对用户提交的URI参数缺少充分过滤,提交包含恶意HTML代码的数据,可导致触发跨站脚本攻击,可能获得目标用户的敏感信息。
目前厂商还没有提供补丁或者升级程序。
您可能感兴趣的文章:
相关文章推荐
- PHPShop存在多个安全漏洞
- 为了保证系统安全,PHP中哪些函数应该避免使用?这些函数存在哪些漏洞?
- 报告发现最新版Java存在一个安全漏洞
- 惊爆:软件更新存在安全漏洞
- PHP网站常见安全漏洞及防御方法
- PHP发现安全漏洞
- 检查代码是否存在整数操作安全漏洞
- PHP网站常见安全漏洞,及相应防范措施总结
- PHP网站常见安全漏洞,及相应防范措施总结
- WordPress RokStories插件‘thumb.php’多个安全漏洞
- WordPress get_allowed_mime_types函数(wp-includes/functions.php)存在跨站脚本漏洞
- PHP开发中的几个最主要的安全漏洞
- Web 安全 PHP 代码审查之常规漏洞
- 【PHP】PHP网站安全漏洞全解
- 《目前国内一些免费email存在的一个安全漏洞》
- PHP FirstPost存在路径泄露漏洞
- PHP上传漏洞提权(网站安全、黑客防范)
- Avast指出雅虎、Google广告平台存在安全漏洞 被利用传播恶意程序
- 微软警告:Windows PC也存在Freak安全漏洞
- 安全研究人员:英伟达GPU存在旁路攻击漏洞