码迷,mamicode.com
首页 > 其他好文 > 详细

lightinthebox程序bug zencart

时间:2014-09-14 14:03:07      阅读:211      评论:0      收藏:0      [点我收藏+]

标签:des   http   io   os   使用   ar   for   文件   数据   

下面列出一些明显的BUG:

   1. 点进产品列表、best deal列表,视图模式无法切换

   2. 注册时发送的邮件有误

   3. 添加地址时有一必填项未打*号

   4. FAQ问题提交出错

   5. 数量折扣价格计算错误

   6. 购买时到checkout_shipping页面中切换成其它货雹倨算错误

   7.BEST DEAL列表里不是特价商品

   8. 后台搜索产品搜索不到

   9.付款流程中重复进入一个页面

  10. 添加产品自动添加数量折扣

漏洞一

敏感配置文件根目录includes/configure.php泄露,此文件包含网站物理路径,数据库账号和密码

浏览器打开 http://域名/extras/ipn_test_return.php报出错误,得到网站物理路径

浏览器打开http://域名/extras/curltest.php?url=file:///网站物理路径/includes/configure.php

直接得到了得到配置文件includes/configure.php代码,网站已没有什么安全性可言。

修复方法:建议修改extras为extras.bak, 或者删除根目录整个extras文件夹

漏洞二: 被人无端添加友情链接,直接显示在首页

漏洞使用方法,在浏览器中输入http://域名/link.html,然后提交链接信息,链接会可直接显示在首页

修复方法:

找到 includes/modules/sideboxes/lightinthebox/links_box.php 文件

找到代码 WHERE ld.language_id = ‘" . (int)$_SESSION[‘languages_id‘] . "‘

修改为 WHERE l.links_status = ‘2‘ and ld.language_id = ‘" . (int)$_SESSION[‘languages_id‘] . "‘

也就是外挂的编辑器本身的漏洞,服务器装个mod_security模块,这些漏洞都不起作用了。服务器的设置很重要。

lightinthebox首页面一级分类Cell Phones的地址和Chinese Brand Cell Phones,More wholesale products这个三个的地址居然一样,实际情况应该是:Cell Phones和More wholesale products他们俩的地址是一样!

修改:

路径为:includes\modules\featured_category_row.php

第48行或者44行的$cPath_new = str_replace(‘=0_‘, ‘=‘, $cPath_new);

下添加一句$cPath_subs = $cPath_new . ‘=‘. $subcats->fields[categories_id];然后60行开始的到64行之间的 或者56到60行的 cPath_new全部替换为cPath_subs

待续

 

lightinthebox模板 contact us发送邮件问题

lightinthebox模板,客户注册/下订单/提问题的时候,邮件都可以正常发送,但在faq.html页面,当使用如下Contact us提交信息时,会出现错误。

点击发送后跳转到其它页面,而且没有发出邮件,错误信息是:"Sorry, the product was not found."
另外,有的用户点击这里的发送后,提示 “Email Error: Could not instantiate mail function. Please check Admin->Configuration->Email Options->Email Transport.”

解决方法如下:
对于问题1,请编辑\includes\templates\lightinthebox\templates\tpl_contact_us_frame_default.php
在37行处,找到:
<?php echo zen_draw_form(‘ask_a_question‘, zen_href_link(FILENAME_CONTACT_US_FRAME, ‘action=send&products_id=‘ . $_GET[‘products_id‘]),‘post‘,‘onsubmit="return(fmChk(this))"‘); ?>
然后替换为
<?php echo zen_draw_form(‘ask_a_question‘, zen_href_link(FILENAME_CONTACT_US_FRAME, ‘action=send‘ . $_GET[‘products_id‘]),‘post‘,‘onsubmit="return(fmChk(this))"‘); ?>
即可解决问题。

对于问题2,如果其他地方邮件都能正确发送的话,那请检查
Admin->Configuration->Email Options->Set "Contact Us" Email Dropdown List

这里如果输入了邮件地址全部删除即可解决问题。
具体问题原因由于用处不大没有去查,估计是对Dropdown的信息解析有问题。

同样的问题在左图点击Ask question about this item时也会发生,
只要去掉了Dropdown List里面的邮件,问题也能解决。

lightinthebox程序bug zencart

标签:des   http   io   os   使用   ar   for   文件   数据   

原文地址:http://www.cnblogs.com/afish/p/3970920.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!