ce安全网绿色资源分享

教程资讯|常用软件|安卓下载|下载排行|最近更新

软件
软件
文章
当前位置:首页网络安全安全文章 → 云EC电商系统 v1.2 代码审计

云EC电商系统 v1.2 代码审计

时间:2018-06-06 07:00:38人气:作者:本站作者我要评论

云EC电商cms简介

云EC电商系统是由一套基于PHP+MYSQL开源的、免费的电商系统软件。支付整合了支付宝三端支付(PC、手机、APP),微信三端支付(PC扫码、微信公众号、APP),银联支付。

模块化设计,可方便快捷的接入其它第三方功能。

支持微信与QQ第三方登陆

支持阿里短信、腾讯短信、创蓝短信等多个接口

物流查询,批量打印快递单和发货单,运费计算设置

销售统计、排行榜、会员统计等

拥有限时抢购(秒杀)、分销、优惠券和拼团等丰富的营销工具

Cms官网地址:https://www.yunec.cn/

Demo地址:http://demo.yunec.cn/

代码下载地址:http://down.chinaz.com/soft/38561.htm

代码审计

①前台无限制sql注入漏洞

漏洞代码位于inc/module/news.php第42行

云EC电商系统 v1.2 代码审计

这里存在漏洞的参数为pageid

这里13行有一处sql语句,但是这里的sql语句会经过转义,因此这里不存在漏洞

41行cids参数是由pageid参数加上child_ids参数拼接而成,然后cids参数进入到42行的get_news_count函数

cids参数在in语句里面,没有任何的单引号包裹,因此这里存在注入漏洞

这里where参数也是直接拼接,因此判定这里的cids参数为直接拼接

官网demo验证

云EC电商系统 v1.2 代码审计

可以看到数据库用户名为yec_demo

相关文章

猜你喜欢

  • 深入解析浅谈《快3单双准确率方法》成功方案

    2022-09-28 /

  • 全网首发《快3单双大小必中方法技巧》思路汇总

    2022-09-28 /

  • 资深攻略《快3大小必中技巧》上岸方法

    2022-09-28 /

  • 【最准确的玩法】《回血上岸计划导师QQ》操作系列

    2022-09-28 /

  • 经验教程《导师一分快三计划》最新窍门

    2022-09-28 /

  • 高手教你《大小单双最安全的打法》三期必中

    2022-09-28 /

网友评论

验证码:

请自觉遵守互联网相关政策法规,评论内容只代表网友观点,与本站立场无关!

最新评论

已有人参与,点击查看更多精彩评论

本类推荐

关于CE安全网 | 联系方式 | 发展历程 | 版权声明 | 下载帮助(?) | 广告联系 | 网站地图 | 友情链接

Copyright 2019-2029 cesafe.com 【CE安全网】 版权所有 琼ICP备2021004244号-1| 琼ICP备2021004244号-1

声明: 本站为非赢利性网站 不接受任何赞助和广告 所有软件和文章来自互联网 如有异议 请与本站联系 技术支持:ce安全网