ce安全网绿色资源分享

教程资讯|常用软件|安卓下载|下载排行|最近更新

软件
软件
文章
当前位置:首页网络安全网络安全文章 → 云EC电商系统 v1.2 代码审计

云EC电商系统 v1.2 代码审计

时间:2018-06-06 07:00:38人气:作者:本站作者我要评论

云EC电商cms简介

云EC电商系统是由一套基于PHP+MYSQL开源的、免费的电商系统软件。支付整合了支付宝三端支付(PC、手机、APP),微信三端支付(PC扫码、微信公众号、APP),银联支付。

模块化设计,可方便快捷的接入其它第三方功能。

支持微信与QQ第三方登陆

支持阿里短信、腾讯短信、创蓝短信等多个接口

物流查询,批量打印快递单和发货单,运费计算设置

销售统计、排行榜、会员统计等

拥有限时抢购(秒杀)、分销、优惠券和拼团等丰富的营销工具

Cms官网地址:https://www.yunec.cn/

Demo地址:http://demo.yunec.cn/

代码下载地址:http://down.chinaz.com/soft/38561.htm

代码审计

①前台无限制sql注入漏洞

漏洞代码位于inc/module/news.php第42行

云EC电商系统 v1.2 代码审计

这里存在漏洞的参数为pageid

这里13行有一处sql语句,但是这里的sql语句会经过转义,因此这里不存在漏洞

41行cids参数是由pageid参数加上child_ids参数拼接而成,然后cids参数进入到42行的get_news_count函数

cids参数在in语句里面,没有任何的单引号包裹,因此这里存在注入漏洞

这里where参数也是直接拼接,因此判定这里的cids参数为直接拼接

官网demo验证

云EC电商系统 v1.2 代码审计

可以看到数据库用户名为yec_demo

相关文章

猜你喜欢

  • Ougishi绿色版下载 V4.00 中文版

    2020-06-19 / 561k

  • 谷歌地图下载助手睿智版破解下载 V9.5绿色版

    2020-06-19 / 32.7M

  • OfficeFIX中文破解版V6.110 注册版

    2020-06-19 / 26.8M

  • Plotagraph破解版V1.2.0 免费版 32/64位

    2020-06-19 / 31.5M

  • IP查详细地址工具下载 V1.1 官方免费版

    2020-06-19 / 408K

  • 内存扫把中文版下载V1.97绿色版

    2020-06-19 / 1.3M

网友评论

验证码:

请自觉遵守互联网相关政策法规,评论内容只代表网友观点,与本站立场无关!

最新评论

已有人参与,点击查看更多精彩评论

关于CE安全网 | 联系方式 | 发展历程 | 版权声明 | 下载帮助(?) | 广告联系 | 网站地图 | 友情链接

Copyright 2019-2029 cesafe.com 【CE安全网】 版权所有 蜀ICP备19039426号-2| 蜀ICP备19039426号-2

声明: 本站为非赢利性网站 不接受任何赞助和广告 所有软件和文章来自互联网 如有异议 请与本站联系 技术支持:ce安全网