【ecshop官网】ecshop中导致网站信息泄漏(数据库默认账户信息)解决方法

更新时间:2017-08-17    来源:php与数据库    手机版     字体:

【www.bbyears.com--php与数据库】

洞标题: ecshop数据库默认账户信息,导致网站信息泄漏
相关厂商: ShopEx漏洞作者: 小机
提交时间: 2012-05-28
公开时间: 2012-07-12
漏洞类型: 账户体系控制不严危害等级: 低自评Rank: 1
漏洞状态: 厂商已经确认 漏洞来源: http://www.wooyun.org

ecshop在默认安装的时候,安装程序会添加两个管理员账户,虽然管理员账户没有操作权限,但是通过这两个账户还是可以看到网站的订单数据.
详细说明:ecshop在默认安装的时候,安装程序会添加两个管理员账户,虽然管理员账户没有操作权限,但是通过这两个账户还是可以看到网站的订单数据.
这是admin_user表的截图。

漏洞证明:随便找个ecshop的网站,打开后台,使用用户名:bjgonghuo1密码:bjgonghuo1可登录。
或者使用用户名:shgonghuo 密码:shgonghuo
http://www.lefei.com/admin/

修复方案:删除默认的这两个管理员。

 

本文来源:http://www.bbyears.com/jiaocheng/34896.html