EC 2.7版本的一个漏洞

2016-07-07 15:03 来源:www.chinab4c.com 作者:ecshop专家



本人一直是ec的关注和依赖者,但近日发现2.7版本的一个重大漏洞,当然不知用漏洞这个词算不算准确,姑且暂用之,请大家点击以下链接
http://www.5i5net.cn/affiche.php?ad_id=54&uri=http://www.baidu.com,就可以直接跳转到百度的页面,同样道理,一个钓鱼网站就可以很轻松地通过EC的网店跳转钓鱼页面,进行骗取钱财,造成网店的莫名的声誉损失,从而引起对EC的技术质疑。根据哥们的提示可能是跳转页面没有对跳转对象进行严格过滤导致跨站问题,也就是说affiche.php这个程序有问题的。需要技术开发进行修正或重写一个补丁。希望能够引起大家重视,早日出现解决方案。

回答:
这个不是漏洞吧? 这个是属于站外广告。。流程上没问题呀。。我个人觉得是正常的。不然怎么叫站外广告呢?


个人见解。。

没有人回答吗?

2楼说的命运错 既然是站外广告就要链接到站外啊!
实在不需要可以去掉这部分功能!

这个功能可以去掉的。