关于ecshop任意网址跳转漏洞如何修补

2016-09-11 20:39 来源:www.chinab4c.com 作者:ecshop专家

在ecshop后台添加广告,在前台显示的链接地址为: “affiche.php?ad_id=1&uri=http%3A%2F%2Fwww.ecshoptemplate.com/”  

它中间用 affiche.php 做了一个过渡,目的在于统计广告效果等。但是这个可以任意跳转到 别的 URL,是一个 严重的BUG漏洞。

若有黑客恶意拿这个地址去发送广告网址,还以为是自己站里的内容。那么必须修改好这个漏洞。

可以这样来修改:

打开  /includes/lib_insert.php 文件

找到

$ads[] = "<a href='affiche.php?ad_id=$row[ad_id]&amp;uri=" .urlencode($row["ad_link"]). "' 

修改为

$ads[] = "<a href='" .$row["ad_link"]. "' 

注意:一共有两处都要注意修改。 记住保存!