漏洞检测：ECShop Search.php注入漏洞 WASC Threat Classification

漏洞类型：

SQL注入

所属建站程序：

Ecshop

所属服务器类型：

通用

所属编程语言：

PHP

描述：

目标存在SQL注入漏洞。

1.SQL注入攻击就是攻击者通过欺骗数据库服务器执行非授权的任意查询过程。

2.漏洞形成原因：ECShop的Search.php脚本对用户提交给""encode""参数的数据在用于SQL查询前缺少过滤，提交恶意SQL查询作为参数数据，可更改原来的SQL逻辑，获得敏感信息或操作数据库。

危害：

被SQL注入后可能导致以下后果：
1.网页被篡改
2.数据被篡改

3. 核心数据被窃取
4. 数据库所在服务器被攻击变成傀儡主机

解决方案：

 

请到官方网站下载最新补丁：http://bbs.ecshop.com/forum-2-1.html。