ecshop 小米手机商城
在接下来的时间里,我将尽力回答大家关于ecshop 小米手机商城的问题,希望我的解答能够给大家带来一些思考。关于ecshop 小米手机商城的话题,我们开始讲解吧。
1.木马是怎样攻入Ecshop商城的
2.有谁用过ecstore啊,复杂不,和ecshop有什么区别?
3.网上商城系统哪个最好用?
4.ECSHOP和SHOPEX哪个好?
5.ECShop安全吗?
木马是怎样攻入Ecshop商城的
Ecshop是一套网络商城建站系统,主要服务于想快捷搭建商城系统的用户,该系统是个人建立商城的主流软件。
在网络上,主要有两种类型的网络购物,一类是像淘宝这样的C2C站点,另一类是像卓越这样的B2C站点。B2C站点除了卓越、当当等大型站点外,还有很多规模较小的B2C站点,由于这些中小型B2C站点数目较大,因此每天的成交量也非常可观。
这些的中小型B2C站点通常没有专业的建站团队,站点都是站长通过现成的商城程序搭建起来的,其中Ecshop网络商城系统用得最多,因此一旦这套系统出现安全问题,将会波及网络上所有采用这套系统建立的B2C站点。
但不幸的事情还是发生了,Ecshop出现了严重的安全漏洞,黑客可以运用 该漏洞入侵站点,窜改商品价格,更令人担忧的是该漏洞可以被用来挂马,所有访问商城的用户都会中毒,他们的各种账号和密码可能被盗。此外,黑客可以修改站点的支付接口,用户购买商品时货款会直接打到黑客的账户中。
本文主角:Ecshop商城 V2.5.0
问题所在:含有SQL漏洞
主要危害:用于挂马、入侵服务器等
Ecshop存在SQL注入漏洞
运用 Ecshop漏洞须要用到SQL注入。由于程序员的疏忽,没有对User.php文件中的SQL变量实行过滤,从而导致SQL注入的发生。黑客可以构造特殊的代码,直接读取存放在站点数据库中的管理员账号和密码。
漏洞的运用 非常基本,只需在站点地址后输入“user.php?act=order_query&order_sn=' union select 1,2,3,4,5,6,concat(user_name,0x7c,password,0x7c,email),8 from ecs_admin_user/*”这样一句代码就可以读出站点数据库中的管理员账号和密码。
挂马流程揭秘
第一步:寻找入侵目标
在百度或谷歌中以“Powered by Ecshop v2.5.0”为关键字实行搜索(图1),可以找到很多符合条件的站点,随便挑选一个站点作为测试目标。须要留心的是,站点越小安全防护也越弱,成功率相比较较高。
第二步:获得管理员账号和密码
打开测试站点,在其网址后输入:user.php?act=order_query&order_sn=' union select 1,2,3,4,5,6,concat(user_name,0x7c,password,0x7c,email),8 from ecs_admin_user/*。
例如该站点网址为/,则完整的漏洞运用 地址为:/ user.php?act=order_query&order_sn=' union select 1,2,3,4,5,6,concat(user_name,0x7c,password,0x7c,email),8 from ecs_admin_user/*。
输入完毕后回车,如果看到类似图2的界面,则说明漏洞被运用 成功了。在返回的信息中,可以发觉很主要的内容,包括站点管理员的账号、密码及E-mail地址。从图2可以找到,管理员账号为admin,密码为c93ccd78b2076528346216b3b2f701e6。密码是经过MD5加密的,所以看到的是一串32位长的字符,须要对这串字符实行破解才能看到真实的密码。
第三步:破解MD5密码
虽然密码经过MD5加密,但是通过破解是可以得到密码原文的。将c93ccd78b2076528346216b3b2f701e6这段MD5值复制下来,打开MD5在线破解站点 /。
把这串MD5值复制到站点页面正中间的文本框中,点击“MD5加密或解密”按钮,密码原文就被破解出来了——admin1234(图3)。当然,破解MD5值靠的是运气,如果管理员将密码配置得很复杂,例如“数字+字母+特殊符号”的组合,那么就很难破解出密码原文。
如果MD5在线破解站点无法破解出密码原文,那么也可以采用MD5暴力破解软件来实行破解,当然耗费的时间会很长,在这里就不多作介绍了。
第四步:上传木马
既然管理员账号和密码都已拿到手,接下来我们就可以登录站点的后台了。在站点网址后输入admin并回车,将会出现站点后台登录页面,输入管理员账号admin、密码admin1234即可登录。
来到后台,我们可以看到Ecshop的站点后台功能是非常多的,当然这也给了我们上传木马的机会。点击“系统配置 ”中的“Flash播放器管理”链接(图4)。打开后再点击“添加自定义”按钮。
这时我们会来到一个上传的页面,在这里不仅仅可以上传,还能轻轻松松地上传木马!这里我们选择一款功能强大的PHP木马,点击“确定”按钮即可将木马上传(图5)。
上传成功后,进入“轮播地址”,在这里我们可以看到上传的木马的的路径(图6)。
将地址复制到浏览器地址栏中并打开,可以在里面任意浏览、修改甚至删除站点中的文件(图7),最后就是在站点首页中插入挂马代码,当用户浏览商城首页的时候,就会激活病毒,病毒会偷偷地入侵用户的计算机。
防备方案
要修补该漏洞,须要对User.php文件中的SQL变量实行严格的过滤,不允许恶意调用变量查询数据库。普通读者在上网时,最好运用能拦截网页木马的安全辅助工具,防止网页木马的骚扰。
有谁用过ecstore啊,复杂不,和ecshop有什么区别?
具体操作方法:
(1)、在商城系统里找/themes/default/library/recommend_best.lbi
找到
<font class="f1">
在它上边增加一行
{if $goods.brand_name}<p>品牌:{$goods.brand_name}</p>{/if}
(2)、在商城系统里找/themes/default/library/recommend_new.lbi ,修改方法同上
(3)、在商城系统里找/themes/default/library/recommend_hot.lbi ,修改方法也同上
(4)、在商城系统中找到themes/default/library/recommend_promotion.lbi ,
找到下面代码
{$lang.promote_price}<font class="f1">{$goods.promote_price}</font>
在它上边添加如下代码
{if $goods.brand_name}<p>品牌:{$goods.brand_name}</p>{/if}
刷新看看,是不是多了一个品牌,如果刷新没有变化,请到后台清除缓存再试一下。
网上商城系统哪个最好用?
Ecstore是上海商派(zhida265)推出的是基于新一代的“电子商务解决方案驱动引擎”ECOS开发的企业级开源网上商店系统,系统是基于PHP语言及MYSQL数据库构架开发的跨平台开源程序。目前版本分为:标准版与授权版。主要运用于帮助企业轻松拓展网上生意;从促销推广到会员引入,从购物流程到订单生成,从订单收订到库房发货,Ecstore基础版让电子商务各个环节举重若轻。
1、开源不同
Ecstore是商业程序,有开源版本,但是费用相对比较高,但是Ecstore的开发机制是很灵活的,Ecstore基础版采用SOA(面向服务)架构,采用模块化开发,同时内置完善的API接口,可无缝对接第三方应用插件。
并且Ecstore标准版引入应用程序接入机制(APP),用户可自主选择、添加、维护或删除应用程序,如通过安装APP,可便捷实现信任登录功能。
Ecshop:是一款开源免费的通用电子商务平台构建软件,用户可以根据自己的商务特征对ECSHOP进行定制,增加自己商城的特色功能。
但是无论对于开源系统的开发,还是对于不开源系统的开发,都要准寻一个问题,就是不能随意开发。开源和不开源只是相对而说。对于不会代码的人,开源等于不开源。对于会代码的人,不开源,也无任何影响。
2、周边程序不同
Ecstore:只是商派的一个平台,现在商派还基于Ecstore推出了一系列的产品,比如CRM、ERP以及saas部署的易开店等等。一步步完善了电商的生态圈。ecshop:就一个版本。
3、投入方面不同
ECSHOP前期系统投入成本较低,但开发扩展投入成本随着业务量增长,业务复杂度变化,开发成本成倍上升。
ECStore因大量研发资源投入,固前期系统投入成本具备一定门槛,但开发扩展投入成本随着业务量增长,业务复杂度变化,开发成本可控,且外围专业技术服务资源可选性较为广泛。
4、模板设计不同
Ecstore:具有强大的模板自由定制功能,内置多套模板,您可随时更换调整,更可对每个模板进行个性化编辑,不再千人一面;清风设计也可以为您量身定制个性化模板,Ecstore免费开放模板接口,您也可以自行设计、使用全新模板。并且Ecstore的模板支持可视化编辑,很方便用户操作。
ECSHOP:对Dreamweaver模板机制提供完美支持。可使用Dreamweaver制作和查看自己的模板。同时程序提供对模板显示内容控制。
如可以在页面上灵活添加指定分类的商品,或指定品牌的商品等。可随意调整广告的显示,而无需手动修改模板。
5、搜索优化
Ecstore:标准版针对搜索引擎进行优化,结合用户自定义URL等手段,在基本描述内容外,根据系统页面分布,
针对性增加nofollow、noindex等SEO标签,引导搜索引擎蜘蛛爬行,避免商品分类等内容重复度较高页面出现重复,极大提升SEO效果。
ECShop:在SEO(搜索引擎优化)上,独家支持两种URL重写方式,并且是同类软件中第一家支持google/yahoo/microsoft三家共同发布的sitemaps0.9网站索引规范,能够为站点被搜索引擎收录做到最大限度的支持和帮助。
6、数据承载
Ecstore:支持日常2500万PV/日,峰值5000万PV/日,强大的负载能力。
Ecshop:支持日常2500PV/日,峰值5000PV/日。
7、促销模式
ECstore:拥有业内领先的促销引擎,可结合商品、订单属性,实现千变万化的促销规则,默认可支持近200种促销规则实例,更可支持订单重量、商品类型、商品数量等等数百种条件组合。
ECSHOP:提供了积分、红包、赠品,夺宝奇兵等7种促销方法。
8、常规功能
Ecstore:控制面板立足于“系统配置、数据管理、地区管理、支付管理和配送设置”等,做到准确到位,全局管控;订单系统Ecstore拥有先进订单管理系统,从“订单确认、订单指派、单据管理,到售后服务管理”,结构清晰、逻辑规范,用户轻松上手。
Ecshop:针对常规功能尤其是后台管理和购物流程,ECShop进行了更简洁的设计,实现更好的用户体验。
9、多接触点用户移动触屏体验管理
ECstore:移动触屏组件采用最新的HTML5技术,能够根据手机终端的不同型号进行应用的自动适配,完全各种电子销售渠道的自动延伸和扩展,在不同的终端带给用户一致的用户体验;
微信商城基于微信平台,让微信5亿用户更了解企业品牌,减少宣传成本,建立企业与消费者、客户的一对一互动和沟通,提供更好的促销、推广、宣传、售后等服务,打造更具影响力的品牌形象。
Ecshop:无
10、性能方面
Ecstore:基于ShopEx自主研发的新一代电子商务引擎ECOS,提供更加安全稳定的底层架构,全方位优化系统架构,同时引入HTML静态生成技术和多级缓存技术,减轻服务器负担,使得前台响应速度和系统负载能力得到极大的提升。
通过大量的测试表明,即使有较大的访问量和数据处理时,Ecstore依然能流畅的提供各项日程服务,即使因营销推广如秒杀等活动造成瞬时大流量,配合ShopEx救援服务依然能确保电商平台的有序运作。
Ecshop:通过优化代码与数据库结构,配合ecshop独家设计的缓存机制,在不考虑网速的情况下,网店动态页面与纯静态页面访问速度相当。
11、价格
Ecstore:是商业的电子商务软件,必须要购买他们的授权才能使用,最低的一个版本是快速启动版,授权费是6.8W,其他更高阶的版本,几万到几十万不等。
Ecshop:可以免费下载使用,但是不能用于商业,如果需要用于商业的话,需要购买他们的授权,授权费是5000元。
shopex和ecshop是目前国内流行的两款电商软件。
扩展资料:
Ecstore秉承了ShopEx产品一贯技术领先的理念,融合了ShopEx在电子商务领域多年的行业经验,采用模块化开发,内置完善的API接口,无缝对接第三方应用插件,提供安全、稳定的底层架构,可为企业提供快速搭建品牌旗舰在线零售平台,以及扩充多渠道销售的解决方案。
Ecstore采用Object-ResourceMap设计,独立的认证授权机制,严格安全的角色访问控制,对核心代码进行多级加密,对数据提供全方位、高级别的防范保护,真正确保数据安全、登录安全、支付安全、资金安全、管理安全。
同时采用云主机集群化的服务器部署,以及提供全程主机运维服务,更有增值运维服务提供应用安全扫描、配置性能优化、安全加固以及营销推广活动造成的大流量救援服务。
Ecstore基于ShopEx自主研发的新一代电子商务引擎ECOS,提供更加安全稳定的底层架构,全方位优化系统架构,同时引入HTML静态生成技术和多级缓存技术,减轻服务器负担,使得前台响应速度和系统负载能力得到极大的提升。
参考资料:
ECSHOP和SHOPEX哪个好?
就国内商城系统来说,有5款值得推荐且各有特点。
一、YISHOP采用PHP+mysql开发,有很强的高负载能力,后期二次开发拓展性强,响应速度很快,里面的功能很强大,是后起之秀。
二、Hishop 采用.net+mssql开发,系统后台简便快捷容易上手,可化视模板编辑方便。是老牌系统。
三、Shopex 采用php+mysql开发,知名度高,客户基数大,但后台较为繁杂,不容易上手。
四、ECshop 也是采用php+mysql开发,开源,功能比上述两个差,但是由于自由,开放,很受个人站长的喜爱,且模板也非常多。后来相对shopex来说简单,相对Hishop来说还是复杂。
五、V5shop 采用.net+mysql开发,是后起之秀,产品没有突出的优点,也没很大的缺点,比较中庸,当然,文章系统是一亮点。
ECShop安全吗?
ECshop最大的优点在于开源,能够自定义开发;而shopEX得优点在于官方模版多,界面美观,操作简单,用户体验好。
可见,ECshop需要改进的地方还不少。
就个人使用体验来说:shopEX的商品展示是二栏设计,这就可以使在同一行中可以展示更多的商品,这对一个网店来说我觉得非常重要。而ECshop是三栏设计,同一行中最多只能展示4个商品,网页中下方的两侧往往是空白的,觉得很可惜。
虽然ECshop在界面上不是很友好,但是综合比较,还是觉得ECshop比较适合开发者使用。ECshop的运行效率明显高于shopEX,毕竟缩短的程序执行时间可以留给客户做更多的事情。
互联网上的任务东西都存在在一定的风险,没有一个绝对的安全;如果你决定使用ecshop的话,我只能给你一些建议。
一,ecshop安装,其实很简单,只要一直下一步下一步点击即可,这样总是没有错的,因为官方不可能给我们一个有问题的程序,尽量从简即可。
请注意一下两点
A:在安装ecshop的时候,不要将所有文件都设置成777。参考ecshop指导,将必须要的文件设置一下即可。
B:安装ecshop的时候,建议不要用admin用户名,并设置复杂的密码
C:mysql数据库,默认前缀是ecs,建议将他修改成其他的.
二,ecshop网店的安全问题还要设置好网站的目录权限
一
般来说,黑客攻击都会选择API/CERT/ IMAGES/
JS/LANGUAGES/widget这些文件,所以要设置每一个页面的权限,这方面可以参考官方的一些文档。有php基础的朋友,可以对
user.php今天修改,对SQL变量进行过滤,可以防止被挂马。
三,ecshop安全方面的细节
对于ecshop的会员管理方面,一定要及时的清理垃圾信息,这样的垃圾会员很容易会登入到你的后台,这样的话后果不堪设想了。
四,ecshop模板与插件
其实这点很是重要,一个商城,模板就是一个门面,外面有太多太多的免费模板与插件,不过可能会有后门的存在,这是有一定风险的。
五,修改登入地址
272版本之后修改后台登录地址非常方便,步骤如下
1,修改admin文件夹名称为“68ecshop”
2,打开data/config.php文件,搜里面所有“admin”字样改成“68ecshop”字样就行。
3,这样访问域名/68ecshop 即可连接到后台
六,定期更新ecshop补丁。因为ecshop官方是会随时出安全补丁的,只要定期更新补丁就可以避免由于漏洞的存在遭到入侵了。
设置了以上这些后,你的网站安全系数会得到一个很好的提升。
非常高兴能与大家分享这些有关“ecshop 小米手机商城”的信息。在今天的讨论中,我希望能帮助大家更全面地了解这个主题。感谢大家的参与和聆听,希望这些信息能对大家有所帮助。
声明:本站所有文章资源内容,如无特殊说明或标注,均为采集网络资源。如若本站内容侵犯了原著者的合法权益,可联系本站删除。