ecshop 小米手机商城

ecshop 小米手机商城

       现在，请允许我来为大家解答一些关于ecshop 小米手机商城的问题，希望我的回答能够给大家带来一些启示。关于ecshop 小米手机商城的讨论，我们开始吧。

1.木马是怎样攻入Ecshop商城的

2.ECShop安全吗？

3.ECSHOP和SHOPEX哪个好？

木马是怎样攻入Ecshop商城的

       Ecshop是一套网络商城建站系统，主要服务于想快捷搭建商城系统的用户，该系统是个人建立商城的主流软件。

       在网络上，主要有两种类型的网络购物，一类是像淘宝这样的C2C站点，另一类是像卓越这样的B2C站点。B2C站点除了卓越、当当等大型站点外，还有很多规模较小的B2C站点，由于这些中小型B2C站点数目较大，因此每天的成交量也非常可观。

       这些的中小型B2C站点通常没有专业的建站团队，站点都是站长通过现成的商城程序搭建起来的，其中Ecshop网络商城系统用得最多，因此一旦这套系统出现安全问题，将会波及网络上所有采用这套系统建立的B2C站点。

       但不幸的事情还是发生了，Ecshop出现了严重的安全漏洞，黑客可以运用 该漏洞入侵站点，窜改商品价格，更令人担忧的是该漏洞可以被用来挂马，所有访问商城的用户都会中毒，他们的各种账号和密码可能被盗。此外，黑客可以修改站点的支付接口，用户购买商品时货款会直接打到黑客的账户中。

       本文主角：Ecshop商城 V2.5.0

       问题所在：含有SQL漏洞

       主要危害：用于挂马、入侵服务器等

       Ecshop存在SQL注入漏洞

       运用 Ecshop漏洞须要用到SQL注入。由于程序员的疏忽，没有对User.php文件中的SQL变量实行过滤，从而导致SQL注入的发生。黑客可以构造特殊的代码，直接读取存放在站点数据库中的管理员账号和密码。

       漏洞的运用 非常基本，只需在站点地址后输入“user.php?act=order_query&order_sn=' union select 1，2，3，4，5，6，concat(user_name，0x7c，password，0x7c，email)，8 from ecs_admin_user/*”这样一句代码就可以读出站点数据库中的管理员账号和密码。

       挂马流程揭秘

       第一步：寻找入侵目标

       在百度或谷歌中以“Powered by Ecshop v2.5.0”为关键字实行搜索(图1)，可以找到很多符合条件的站点，随便挑选一个站点作为测试目标。须要留心的是，站点越小安全防护也越弱，成功率相比较较高。

       第二步：获得管理员账号和密码

       打开测试站点，在其网址后输入：user.php?act=order_query&order_sn=' union select 1，2，3，4，5，6，concat(user_name，0x7c，password，0x7c，email)，8 from ecs_admin_user/*。

       例如该站点网址为/，则完整的漏洞运用 地址为：/ user.php?act=order_query&order_sn=' union select 1，2，3，4，5，6，concat(user_name，0x7c，password，0x7c，email)，8 from ecs_admin_user/*。

       输入完毕后回车，如果看到类似图2的界面，则说明漏洞被运用 成功了。在返回的信息中，可以发觉很主要的内容，包括站点管理员的账号、密码及E-mail地址。从图2可以找到，管理员账号为admin，密码为c93ccd78b2076528346216b3b2f701e6。密码是经过MD5加密的，所以看到的是一串32位长的字符，须要对这串字符实行破解才能看到真实的密码。

       第三步：破解MD5密码

       虽然密码经过MD5加密，但是通过破解是可以得到密码原文的。将c93ccd78b2076528346216b3b2f701e6这段MD5值复制下来，打开MD5在线破解站点 /。

       把这串MD5值复制到站点页面正中间的文本框中，点击“MD5加密或解密”按钮，密码原文就被破解出来了——admin1234(图3)。当然，破解MD5值靠的是运气，如果管理员将密码配置得很复杂，例如“数字+字母+特殊符号”的组合，那么就很难破解出密码原文。

       如果MD5在线破解站点无法破解出密码原文，那么也可以采用MD5暴力破解软件来实行破解，当然耗费的时间会很长，在这里就不多作介绍了。

       第四步：上传木马

       既然管理员账号和密码都已拿到手，接下来我们就可以登录站点的后台了。在站点网址后输入admin并回车，将会出现站点后台登录页面，输入管理员账号admin、密码admin1234即可登录。

       来到后台，我们可以看到Ecshop的站点后台功能是非常多的，当然这也给了我们上传木马的机会。点击“系统配置 ”中的“Flash播放器管理”链接(图4)。打开后再点击“添加自定义”按钮。

       这时我们会来到一个上传的页面，在这里不仅仅可以上传，还能轻轻松松地上传木马!这里我们选择一款功能强大的PHP木马，点击“确定”按钮即可将木马上传(图5)。

       上传成功后，进入“轮播地址”，在这里我们可以看到上传的木马的的路径(图6)。

       将地址复制到浏览器地址栏中并打开，可以在里面任意浏览、修改甚至删除站点中的文件(图7)，最后就是在站点首页中插入挂马代码，当用户浏览商城首页的时候，就会激活病毒，病毒会偷偷地入侵用户的计算机。

       防备方案

       要修补该漏洞，须要对User.php文件中的SQL变量实行严格的过滤，不允许恶意调用变量查询数据库。普通读者在上网时，最好运用能拦截网页木马的安全辅助工具，防止网页木马的骚扰。

ECShop安全吗？

       免费网上商城？你相信真的会有吗？接下来小编给大家介绍一下，避免大家上当受骗。很多商城开发商都会打出免费商城系统的噱头，但实际上这些免费商城系统并不是真正意义上的免费商城，因为这些系统功能是受限、而且不用商用，只能说学习研究使用。市面上免费的商城系统我了解的只有两款产品，一个是ecshop，一个是筑店魔方。Ecshop在08年前是很牛的电子商务公司，摩托罗拉都是他们的客户，但08年之后被Shopex收购后，基本上在市场上就停止了运营，因为他是开源的系统，所以可以免费使用并且可以自行定制，不过因为停止运营，所以还是十几年前的技术框架没变过，已经跟不上时代了。另外一个免费的产品叫筑店魔方，是SAAS产品，直接在官网开通就可以使用了，功能很强大，而且界面什么的都很干净。好不好用可以去开通一个自己体验一下。丰富的营销插件为商城推广提供强大助力。可视化编辑让商家可以根据业务需求进行个性编辑。系统定期维护更新让系统运行流畅。这是很多商家都会选择的一款SaaS软件系统。这两个免费网上商城真的可以算是良心商城了，在我们的日常生活中真正意义上的免费学习商城还是很少的，当我们有需要的时候，我们还是要选择一些比较正规的网站，不能为了贪图小便宜而有大的损失，在网络如此发达的时代，我们要学会辨别真伪，擦亮我们的眼睛，做一个能明辨是非的人。永远不要相信天下会掉馅饼，大学生在校园里上当受骗是非常常见的，如何提高大学生明辨是非的能力是进行高校教育需要提升的地方。

ECSHOP和SHOPEX哪个好？

       互联网上的任务东西都存在在一定的风险，没有一个绝对的安全；如果你决定使用ecshop的话，我只能给你一些建议。

       一，ecshop安装，其实很简单，只要一直下一步下一步点击即可，这样总是没有错的，因为官方不可能给我们一个有问题的程序，尽量从简即可。

       请注意一下两点

       A：在安装ecshop的时候，不要将所有文件都设置成777。参考ecshop指导，将必须要的文件设置一下即可。

       B：安装ecshop的时候，建议不要用admin用户名，并设置复杂的密码

       C：mysql数据库，默认前缀是ecs,建议将他修改成其他的.

       二，ecshop网店的安全问题还要设置好网站的目录权限

       一

       般来说，黑客攻击都会选择API/CERT/ IMAGES/

       JS/LANGUAGES/widget这些文件，所以要设置每一个页面的权限，这方面可以参考官方的一些文档。有php基础的朋友，可以对

       user.php今天修改，对SQL变量进行过滤，可以防止被挂马。

       三，ecshop安全方面的细节

       对于ecshop的会员管理方面，一定要及时的清理垃圾信息，这样的垃圾会员很容易会登入到你的后台，这样的话后果不堪设想了。

       四，ecshop模板与插件

       其实这点很是重要，一个商城，模板就是一个门面，外面有太多太多的免费模板与插件，不过可能会有后门的存在，这是有一定风险的。

       五，修改登入地址

       272版本之后修改后台登录地址非常方便，步骤如下

       1，修改admin文件夹名称为“68ecshop”

       2，打开data/config.php文件，搜里面所有“admin”字样改成“68ecshop”字样就行。

       3，这样访问域名/68ecshop 即可连接到后台

       六，定期更新ecshop补丁。因为ecshop官方是会随时出安全补丁的，只要定期更新补丁就可以避免由于漏洞的存在遭到入侵了。

       设置了以上这些后，你的网站安全系数会得到一个很好的提升。

       ECshop最大的优点在于开源，能够自定义开发；而shopEX得优点在于官方模版多，界面美观，操作简单，用户体验好。

       可见，ECshop需要改进的地方还不少。

       就个人使用体验来说：shopEX的商品展示是二栏设计，这就可以使在同一行中可以展示更多的商品，这对一个网店来说我觉得非常重要。而ECshop是三栏设计，同一行中最多只能展示4个商品，网页中下方的两侧往往是空白的，觉得很可惜。

       虽然ECshop在界面上不是很友好，但是综合比较，还是觉得ECshop比较适合开发者使用。ECshop的运行效率明显高于shopEX，毕竟缩短的程序执行时间可以留给客户做更多的事情。

       好了，今天关于“ecshop 小米手机商城”的话题就讲到这里了。希望大家能够通过我的介绍对“ecshop 小米手机商城”有更全面的认识，并且能够在今后的实践中更好地运用所学知识。如果您有任何问题或需要进一步的信息，请随时告诉我。