ecshop任意网址跳转漏洞如何修补
ecshop模板网 / 2013-01-05
在ecshop后台添加广告,在前台显示的链接地址为: “affiche.php?ad_id=1&uri=http%3A%2F%2Fwww.zuimoban.com/”
它中间用 affiche.php 做了一个过渡,目的在于统计广告效果等。但是这个可以任意跳转到 别的 URL,是一个 严重的BUG漏洞。
若有黑客恶意拿这个地址去发送广告网址,还以为是自己站里的内容。那么必须修改好这个漏洞。
可以这样来修改:
打开 /includes/lib_insert.php 文件
找到
$ads[] = "<a href='affiche.php?ad_id=$row[ad_id]&uri=" .urlencode($row["ad_link"]). "'
修改为
$ads[] = "<a href='" .$row["ad_link"]. "'
注意:一共有两处都要注意修改。 记住保存!
赞 (0)