久久精品水蜜桃av综合天堂,久久精品丝袜高跟鞋,精品国产肉丝袜久久,国产一区二区三区色噜噜,黑人video粗暴亚裔

PhPay

來自站長百科
跳轉(zhuǎn)至: 導(dǎo)航、? 搜索
PhPay Logo.gif

phPay,一個基于PHP/MySQL電子商務(wù)系統(tǒng),能夠快速的建立一個網(wǎng)上商店,具有可以無限分級的目錄系統(tǒng)。

phPay遵循GPL開源協(xié)議。

PhPay概況[ ]

PhPay系統(tǒng)特征[ ]

  • 查詢搜索系統(tǒng);
  • 多種分類顯示方式;
  • Session控制機制;
  • 無需Javascript支持;
  • 簡單快捷的設(shè)計選擇;
  • 多語言、多貨幣支持;
  • 強大的統(tǒng)計、折扣系統(tǒng);

相關(guān)資訊[ ]

漏洞起因 輸入驗證錯誤

影響系統(tǒng) phPay phPay 2.2.1

不受影響系統(tǒng)

危害 遠程攻擊者可以利用漏洞以WEB權(quán)限查看系統(tǒng)文件內(nèi)容。

攻擊所需條件 攻擊者必須訪問phPay。

漏洞信息 phPay是一款基于PHP的WEB應(yīng)用程序。 Windows平臺下安裝的phPay不正確過濾用戶提交的URI數(shù)據(jù),遠程攻擊者可以利用漏洞以WEB權(quán)限查看系統(tǒng)文件內(nèi)容。 問題是由于'main.php'腳本對用戶提交的'config'參數(shù)缺少過濾,提交包含'\..'作為參數(shù)數(shù)據(jù),可繞過WEB ROOT限制,以WEB權(quán)限查看系統(tǒng)文件內(nèi)容。

測試方法 http://www.example.com/phpayv2.02a/main.php?config=eregi.inc.php\\..\\admin\\.htaccess http://www.example.com/phpayv2.02a/main.php?config=eregi.inc.php\..\admin\.htaccess

廠商解決方案 目前沒有解決方案提供: http://phpay.sourceforge.net/

漏洞提供者 Michael Brooks

漏洞消息鏈接 http://www.securityfocus.com/archive/1/485149

漏洞消息標題 Phpay - Local File Inclusion

使用手冊[ ]

安裝說明[ ]

將安裝目錄上傳至服務(wù)器,在安裝前需要保證以下文件具有讀寫權(quán)限,否則安裝將會報錯: 

phpayv2/config_db.inc,
phpayv2/admin/config_db.inc.php 
phpayv2/admin/cconfig.inc.php

瀏覽器中輸入安裝文件所在目錄(或域名/IP地址),即可進入安裝程序,按照提示輸入相關(guān)信息參數(shù),即可順利完成安裝過程。

安裝完成可以利用.htaccess等措施保護admin目錄。

使用說明[ ]

相關(guān)條目[ ]

參考來源[ ]