热门搜索: 物流跟踪 自定义URL oauth2.0 银联
详细内容
ShopEx的一处XSS跨站脚本漏洞修复!
时间:2013-02-27 15:21 来源:MyShopEx插件站 作者:老曹 点击: 次 下载:
软件类型:国产软件 授权方式:免费软件 界面语言:简体中文 软件大小:0.01 MB 文件类型:.rar 运行环境:Win2003,WinXP,Win2000,Win9X 软件等级:★★★★★ 发布时间:2013-02-27 官方网址:http:// 演示网址:http://
软件介绍

一、安装说明:
1、使用FTP把文件上传到网站对应目录下并覆盖文件(注意:覆盖之前请先备份原文件,以防出错!);
2、后台/关于/清空缓存;

二、修复的漏洞说明:
跨站脚本1中危                    XSS 跨站脚本漏洞                漏洞列表
中危 http://www.XXXXXX.com/passport-verify.html
请求POST
参数ref_url
passwd=&ref_url='><script>confirm(0261)</script>&isfastbuy=&loginverifycode=&forward=&login=




----★★友情提醒:ShopEx系统安全使用须知★★----
ShopEx系统是一款用户数量庞大的网店系统,易用性,功能强大等特点深受用户喜爱。同时也可能会被很多黑客研究利用(这其实是每个知名系统都会面临的问题,不单单是ShopEx系统)。为最大限度降低被黑客攻击的风险,本站特别总结以下几点安全防护知识,请广大网商注意:

1、将系统中的install目录删除,留着也是摆看。里面有涉及到检测系统环境的程序,很容易被利用。
2、后台的保护。首先是账号密码的保护,其次是后台管理目录的修改。务必把默认的后台目录改掉,改成其它不容易被猜到的目录。ShopEx默认的后台目录是shopadmin,您可以改为任意名称如aaaa(当然越复杂的越好),这样即使别人知道后台账号密码也不知道后台在哪登录。
3、去除系统上的页面版权(需要修改一些程序,如有需要,请联系我们),越彻底越好,从代码层面去除它。很多时候,某些人获知某个系统有漏洞的时候,总是会通过搜索相应的系统名称来得到使用这个系统的那些网站,然后实施攻击;
4、PHP环境安全配置,如在PHP.ini文件中关闭页面错误信息显示display_errors=Off,或直接在ShopEx的config.php文件中配置ini_set("display_errors","Off");,可以防止某些程序在报错的时候无意中泄露网站物理路径,被黑客利用。
5、MySql数据库账号安全配置,不要图一时省事给网站直接使用root账号而给的最高权限,给网站单独分配普通账号,并且不允许远程连接,仅给予其最基本的数据库操作权限,如增删改查。
6、有些店家为了方便管理数据库,直接在网站目录下放置了如phpMyadmin等第三方数据库管理程序,建议对这些系统也做好安全处理,最直接的方法就是将目录名称改掉,不使用默认名称,这些黑客也无法猜到。
7、服务器日常巡检维护。经常上服务器各目录查看查看,以便及时可以发现一些可疑文件,如通过文件或文件夹的最近修改时间,可以分析出一些踪迹。
8、关注官方论坛,随时了解版本升级动态,及时更新安全补丁。

详情请进:http://www.myshopex.com/view/2012/1005/265.html

下载地址
发表评论
下载说明

☉推荐使用第三方专业下载工具下载本站软件,使用 WinRAR v3.10 以上版本解压本站软件。
☉如果这个软件总是不能下载的请点击报告错误,谢谢合作!!
☉下载本站资源,如果服务器暂不能下载请过一段时间重试!
☉如果遇到什么问题,请到本站论坛去咨寻,我们将在那里提供更多 、更好的资源!
☉本站提供的一些商业软件是供学习研究之用,如用于商业用途,请购买正版。

顶一下
(2)
50%
踩一下
(2)
50%
------分隔线----------------------------
标签:shopex修复漏洞XSS跨站脚本
上一篇:没有了 下一篇:EcStore在线零售2.3.54升级说明