标签:des http io os 使用 ar for 文件 数据
下面列出一些明显的BUG:
1. 点进产品列表、best deal列表,视图模式无法切换
2. 注册时发送的邮件有误
3. 添加地址时有一必填项未打*号
4. FAQ问题提交出错
5. 数量折扣价格计算错误
6. 购买时到checkout_shipping页面中切换成其它货雹倨算错误
7.BEST DEAL列表里不是特价商品
8. 后台搜索产品搜索不到
9.付款流程中重复进入一个页面
10. 添加产品自动添加数量折扣
漏洞一
敏感配置文件根目录includes/configure.php泄露,此文件包含网站物理路径,数据库账号和密码
浏览器打开 http://域名/extras/ipn_test_return.php报出错误,得到网站物理路径
浏览器打开http://域名/extras/curltest.php?url=file:///网站物理路径/includes/configure.php
直接得到了得到配置文件includes/configure.php代码,网站已没有什么安全性可言。
修复方法:建议修改extras为extras.bak, 或者删除根目录整个extras文件夹
漏洞二: 被人无端添加友情链接,直接显示在首页
漏洞使用方法,在浏览器中输入http://域名/link.html,然后提交链接信息,链接会可直接显示在首页
修复方法:
找到 includes/modules/sideboxes/lightinthebox/links_box.php 文件
找到代码 WHERE ld.language_id = ‘" . (int)$_SESSION[‘languages_id‘] . "‘
修改为 WHERE l.links_status = ‘2‘ and ld.language_id = ‘" . (int)$_SESSION[‘languages_id‘] . "‘
也就是外挂的编辑器本身的漏洞,服务器装个mod_security模块,这些漏洞都不起作用了。服务器的设置很重要。
lightinthebox首页面一级分类Cell Phones的地址和Chinese Brand Cell Phones,More wholesale products这个三个的地址居然一样,实际情况应该是:Cell Phones和More wholesale products他们俩的地址是一样!
修改:
路径为:includes\modules\featured_category_row.php
第48行或者44行的$cPath_new = str_replace(‘=0_‘, ‘=‘, $cPath_new);
下添加一句$cPath_subs = $cPath_new . ‘=‘. $subcats->fields[categories_id];然后60行开始的到64行之间的 或者56到60行的 cPath_new全部替换为cPath_subs
待续
lightinthebox模板 contact us发送邮件问题
lightinthebox模板,客户注册/下订单/提问题的时候,邮件都可以正常发送,但在faq.html页面,当使用如下Contact us提交信息时,会出现错误。
点击发送后跳转到其它页面,而且没有发出邮件,错误信息是:"Sorry, the product was not
found."
另外,有的用户点击这里的发送后,提示 “Email Error: Could not instantiate mail
function. Please check
Admin->Configuration->Email
Options->Email Transport.”
解决方法如下:
对于问题1,请编辑\includes\templates\lightinthebox\templates\tpl_contact_us_frame_default.php
在37行处,找到:
<?php echo zen_draw_form(‘ask_a_question‘,
zen_href_link(FILENAME_CONTACT_US_FRAME,
‘action=send&products_id=‘ .
$_GET[‘products_id‘]),‘post‘,‘onsubmit="return(fmChk(this))"‘);
?>
然后替换为
<?php echo zen_draw_form(‘ask_a_question‘,
zen_href_link(FILENAME_CONTACT_US_FRAME, ‘action=send‘ .
$_GET[‘products_id‘]),‘post‘,‘onsubmit="return(fmChk(this))"‘);
?>
即可解决问题。
对于问题2,如果其他地方邮件都能正确发送的话,那请检查
Admin->Configuration->Email
Options->Set "Contact Us" Email Dropdown List
这里如果输入了邮件地址全部删除即可解决问题。
具体问题原因由于用处不大没有去查,估计是对Dropdown的信息解析有问题。
同样的问题在左图点击Ask question about this item时也会发生,
只要去掉了Dropdown List里面的邮件,问题也能解决。
标签:des http io os 使用 ar for 文件 数据
原文地址:http://www.cnblogs.com/afish/p/3970920.html