1.product viewpic XSS漏洞 原因: viewpic处未正确转义,形成漏洞,可以跨站脚本攻击 修复方法: 在core\shop\controller\ctl.product.php,找到function viewpic($goodsid, $selected=’def’),在其下面一行添加 $goodsid = intval($goodsid); 保存,问题解决 2.绕过验证码问题 原因: shopex后台登录的验证码在第一次检验未通过后,并没有清除第一次存在session中验证码,所以可以通过特定的程序来暴力重试破解。 修复方法: 在core/admin/controller/ctl.passport.php中找到
$_SESSION``[``'loginmsg'``] = __(“验证码输入错误!”);
在下面添加
$_SESSION``[``'RANDOM_CODE'``] = ”;
保存,修复成功