ECSHOP php商城系统过滤不严导致SQL注入漏洞

遗落的世界 發表於 2011-10-10 00:03:17

ECSHOP php商城系统过滤不严导致SQL注入漏洞

影响版本: ECSHOP 2.7.2 Release 0604 程序介绍: ECSHOP是一款开源免费的网上商店系统。由专业的开发团队升级维护，为您提供及时高效的技术支持，您还可以根据自己的商务特征对ECSHOP进行定制，增加自己商城的特色功能。 漏洞分析: 在include_libcommon.php中存在如下函数 
<div class="codeText">
<div class="codeHead">PHP Code复制内容到剪贴板</div>
<div id="code_2129">
<ol class="dp-c">
<li class="alt">function get_package_info($id)       </li>
<li class="">{       </li>
<li class="alt">    global $ecs, $db,$_CFG;       </li>
<li class="">       </li>
<li class="alt">    $now = gmtime();       </li>
<li class="">       </li>
<li class="alt">    $sql = "SELECT act_id AS id,  act_name AS package_name, goods_id , goods_name, start_time, end_time, act_desc, ext_info".       </li>
<li class="">           " FROM " . $GLOBALS['ecs']->table('goods_activity') .       </li>
<li class="alt">           " WHERE act_id='$id' AND act_type = " . GAT_PACKAGE;       </li>
<li class="">       </li>
<li class="alt">    $package = $db->GetRow($sql);       </li>
<li class="">       </li>
<li class="alt">    /* 将时间转成可阅读格式 */       </li>
<li class="">    if ($package['start_time'] <= $now && $package['end_time'] >= $now)       </li>
<li class="alt">    {       </li>
<li class="">        $package['is_on_sale'] = "1";       </li>
<li class="alt">    }       </li>
<li class="">    else       </li>
<li class="alt">    {       </li>
<li class="">        $package['is_on_sale'] = "0";       </li>
<li class="alt">    }       </li>
<li class="">    $package['start_time'] = local_date('Y-m-d H:i', $package['start_time']);       </li>
<li class="alt">    $package['end_time']   = local_date('Y-m-d H:i', $package['end_time']);       </li>
<li class="">    $row = unserialize($package['ext_info']);       </li>
<li class="alt">    unset($package['ext_info']);       </li>
<li class="">    if ($row)       </li>
<li class="alt">    {       </li>
<li class="">        foreach ($row as $key=>$val)       </li>
<li class="alt">        {       </li>
<li class="">            $package[$key] = $val;       </li>
<li class="alt">        }       </li>
<li class="">    }       </li>
<li class="alt">       </li>
<li class="">    $sql = "SELECT pg.package_id, pg.goods_id, pg.goods_number, pg.admin_id, ".       </li>
<li class="alt">           " g.goods_sn, g.goods_name, g.market_price, g.goods_thumb, g.is_real, ".       </li>
<li class="">           " IFNULL(mp.user_price, g.shop_price * '$_SESSION') AS rank_price " .       </li>
<li class="alt">           " FROM " . $GLOBALS['ecs']->table('package_goods') . " AS pg ".       </li>
<li class="">           "   LEFT JOIN ". $GLOBALS['ecs']->table('goods') . " AS g ".       </li>
<li class="alt">           "   ON g.goods_id = pg.goods_id ".       </li>
<li class="">           " LEFT JOIN " . $GLOBALS['ecs']->table('member_price') . " AS mp ".       </li>
<li class="alt">                "ON mp.goods_id = g.goods_id AND mp.user_rank = '$_SESSION' ".       </li>
<li class="">           " WHERE pg.package_id = " . $id. " ".       </li>
<li class="alt">           " ORDER BY pg.package_id, pg.goods_id";       </li>
<li class="">       </li>
<li class="alt">    $goods_res = $GLOBALS['db']->getAll($sql);       </li>
<li class="">       </li>
<li class="alt">    $market_price        = 0;     </li>
</ol>
</div>
</div>
 其中$id没有经过严格过滤就直接进入了SQL查询，导致一个SQL注射漏洞。 在系统的lib_order.php中存在一个该函数的调用 
<div class="codeText">
<div class="codeHead">PHP Code复制内容到剪贴板</div>
<div id="code_8930">
<ol class="dp-c">
<li class="alt">function add_package_to_cart($package_id, $num = 1)      </li>
<li class="">{      </li>
<li class="alt">    $GLOBALS['err']->clean();      </li>
<li class="">    /* 取得礼包信息 */      </li>
<li class="alt">    $package = get_package_info($package_id);      </li>
<li class="">    if (emptyempty($package))      </li>
<li class="alt">    {      </li>
<li class="">        $GLOBALS['err']->add($GLOBALS['_LANG']['goods_not_exists'], ERR_NOT_EXISTS);      </li>
<li class="alt">        return false;      </li>
<li class="">    }  </li>
</ol>
</div>
</div>
在flow.php中存在可控的输入源 
<div class="codeText">
<div class="codeHead">PHP Code复制内容到剪贴板</div>
<div id="code_6186">
<ol class="dp-c">
<li class="alt">$package = $json->decode($_POST['package_info']);      </li>
<li class="">    /* 如果是一步购物，先清空购物车 */      </li>
<li class="alt">    if ($_CFG['one_step_buy'] == '1')      </li>
<li class="">    {      </li>
<li class="alt">        clear_cart();      </li>
<li class="">    }      </li>
<li class="alt">    /* 商品数量是否合法 */      </li>
<li class="">    if (!is_numeric($package->number) || intval($package->number) <= 0)      </li>
<li class="alt">    {      </li>
<li class="">        $result['error']   = 1;      </li>
<li class="alt">        $result['message'] = $_LANG['invalid_number'];      </li>
<li class="">    }      </li>
<li class="alt">    else      </li>
<li class="">    {      </li>
<li class="alt">        /* 添加到购物车 */      </li>
<li class="">        if (add_package_to_cart($package->package_id, $package->number))      </li>
<li class="alt">        {      </li>
<li class="">            if ($_CFG['cart_confirm'] > 2)   </li>
</ol>
</div>
</div>
 $package->package_id来源于输入 解决方案: 厂商补丁 ECSHOP ---------- 目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本： http://www.ecshop.com 信息来源: 来源: WooYun

頁: [1]

琼殿技术论坛's Archiver

ECSHOP php商城系统过滤不严导致SQL注入漏洞