代码审计

ecshop /admin/shopinfo.php SQL注入

字号+ 作者:0day5 来源:转载 2016-12-24 14:10 我要评论( )

测试版本v3.0.0 RELEASE 20160518 文件/admin/shopinfo.php中107-109行 if ($_REQUEST[act] == edit){ /* 权限判断 */ admin_priv(shopinfo_manage); /* 取得文章......

测试版本v3.0.0 RELEASE 20160518

文件/admin/shopinfo.php中107-109行

 

由于这里

 

没有对传入对id进行处理,直接带入了sql语句导致了注入的发生
1
初初查看,由于全局加载了init.php

还以为无法继续执行的。其中发现了updatexml貌似没有在其中,所以还是可以继续出内容的
1


本文来自: 蜗蜗侠's Blog-关注网络安全 http://blog.icxun.cn/hack/Code/475.html

1.本站遵循行业规范,任何转载的稿件都会明确标注作者和来源;2.本站的原创文章,请转载时务必注明文章作者和来源,不尊重原创的行为我们将追究责任;3.作者投稿可能会经我们编辑修改或补充。

相关文章
网友点评
暂时未开启评论功能~