ecshop2.7X漏洞及修复方法

一、背景介绍

号称国内最大的开源网店系统，可以直接远程写入webshell。

本文会通过动态分析来解析漏洞每个细节，关于漏洞原理可以看漏洞原理，讲的很详细，本文重点介绍动态分析审计的技巧和如何调试漏洞，关于漏洞本身也是一个很值得学习的漏洞，能构造出这个攻击链是需要对每个细节都有深刻的认识才能实现的。

二、动态调试环境搭建

自行下载安装phpstudy和phpstorm

首先确定php版本

然后修改配置文件

转载自文章。 https://www.freebuf.com/vuls/183219.html

另修复方法也很简单。 http://bbs.ecshop.com/viewthread.php?tid=1189867&rpid=9014715