据网上流传的说法,通过伪造cookie可以在不知道密码的情况下登录。 那么,就改一下吧。 includes/init.php Line:260:MODIFY if (!$row || ((md5($row['password'].$_CFG['hash_code']) != $_COOKIE['ECS']['password']))) 这样改完就会验证一下cookie中伪造的密码是否与数据库的相同。不同则无法登录。 在后台登录是却验证了这一步,不知为什么在前台没有验证。 不明白。 网上已经流传了一段时间,不知为什么没有补丁出来。
Tag Archives: ecshop
ecshop 2.7.2 0505前台登录漏洞
19-五-10ecshop 后台菜单
19-五-10添加菜单项 // /admin/includes/inc_menu.php添加以下内容 //加盟公司 //21_jm_comp 是一级菜单,jm_user_list是二级菜单 $modules['21_jm_comp']['jm_user_list'] = ‘users.php?act=list’; // /languages/zh_cn/admin/common.php /* 加盟公司 */ $_LANG['21_jm_comp'] = ‘加盟公司’; //这是一级菜单的显示的内容 $_LANG['jm_user_list'] = ‘用户列表’; //这是二级菜单的显示的内容 做好以上工作会在后台左则菜单里显示 “加盟公司” =》 “用户列表” 这样的菜单内容。但此时还不能在权限分配里看到它们。 // 在数据库中的 admin_action表中添加记录 parent_id = 0, action_code = ’21_jm_comp’ //这里设置一个一级权限选项 parent_id = #这里是上面记录的action_id#, action_code = ‘jm_user_list’ //添加二级权限选项 到此菜单的添加和权限的设置已经完成,可以在后台看到菜单,并能在权限管理里给管理员赋与此期限 。 ============2010-05-28================ 上面漏了一点,还需要修改 admin/includes/inc_priv.php 加上 $purview['jm_user_list'] = ‘jm_user_list’; 这样才能设置权限