ecshop存在一个盲注漏洞,问题存在于/api/client/api.php文件中,提交特制的恶意POST请求可进行SQL注入攻击,可获得敏感信息或操作数据库;
跨站攻击;
ECSHOP的配送地址页面网页没有验证地区参数的有效性,存在sql注入漏洞;
ecshop的后台编辑文件/admin/affiliate_ck.php中,对输入参数auid未进行正确类型转义,导致整型注入的发生;
ecshop的后台编辑文件/admin/shophelp.php中shopinfo.php,对输入参数$_POST['id']未进行正确类型转义,导致整型注入的发生;
ecshop的/admin/comment_manage.php中,对输入参数sort_by、sort_order未进行严格过滤,导致SQL注入;
ECShop存在一个盲注漏洞,问题存在于/api/client/api.php文件中,提交特制的恶意POST请求可进行SQL注入攻击,可获得敏感信息或操作数据库;
ECSHOP支付插件存在SQL注入漏洞,此漏洞存在于/includes/modules/payment/alipay.php文件中,该文件是ECshop的支付宝插件。
由于ECShop使用了str_replace函数做字符串替换,黑客可绕过单引号限制构造SQL注入语句。
只要开启支付宝支付插件就能利用该漏洞获取网站数据,且不需要注册登入;
ecshop的/includes/lib_insert.php文件中,对输入参数未进行正确类型转义,导致整型注入的发生。
2023/10/13 5:03:18 3KB 常见漏洞
1
下面这个模块是我使用易语言时写补丁最常用的一个模块(当然很多也是抄的),一开始我觉得bug肯定会很多,放出去肯定又会坑很多人,后来我发现坑坑更健康,当你明白一个东西的优缺点之后,你才会更好的选择你所需要的。
所以呢,现在模块开源了,希望对某些朋友有参考意义或者说使用价值吧。
声明:大家使用过程中发现任何问题都不要来问我,请自己想办法解决。
我现在已经完全放弃易语言了,改用VC++了。
以下是全部接口:模块名称:sunflover.ec作者:bysunflover版本:2015.2自己收集的一些常用函数,方便写补丁。
@备注:自己收集的一些常用函数------------------------------.版本2.子程序Ansi2Unicode,字节集,公开,将Ansi码转换为Unicode码(返回转换后的字节集).参数Ansi,文本型,,欲转换的Ansi文本.子程序AntiDebug,逻辑型,公开,这个没啥用,效果差;可放在程序运行的第一个函数被调试返回真.子程序AntiODMenu,逻辑型,公开,这个效果较好,推荐用这个;找到OD相关句柄返回真,此函数枚举窗口通过菜单名来判定是否OD窗口。
.子程序AntiStrongOD,逻辑型,公开,这个效果还行,检测带有驱动的OD调试器此函数专门对付StrongOD插件.参数判断OD运行状态,逻辑型,可空,此参数作用:发现OD驱动时—是否检测OD运行状态作为返回值基础,默认判断运行状态.子程序Bin2Dec,整数型,公开,字节集到整数.参数Bin,字节集.子程序Bin2Hex,文本型,公开,字节集到十六进制文本.参数字节集,字节集.子程序Bin2Hex1,文本型,公开,文本型->文本型.参数Bin,文本型.子程序BinXor,字节集,公开,字节集异或.参数需异或的字节集,字节集,,返回的字节集.参数参与异或的字节集,字节集.子程序Dec2Hex,文本型,公开,十到十六.参数十进制转换数据,长整数型.子程序GetAPIAddress,整数型,公开,失败返回0.参数模块名,文本型,,如"user32.dll","kernel32.dll".参数API,文本型,,如“CreateWindowExA”.子程序Hex2Bin,字节集,公开,十六进制文本到字节集.参数原文,文本型.子程序Hex2Bin1,文本型,公开,文本型->文本型.参数Hex,文本型.子程序Hex2Dec,整数型,公开,十六到十.参数十六进制转换数据,文本型.子程序InjectDll,逻辑型,公开,向目标进程中注入一个指定Dll模块文件;注入成功返回true,注入失败则返回false,CreateRemoteThread法.参数进程ID,整数型,,进程PID.参数DLL文件名,文本型,,欲注入的DLL名称.子程序InjectDLL1,逻辑型,公开,SuspendThread,shellcode,SetEip.参数PID,整数型.参数DLL路径,文本型.子程序InjectDLL2,逻辑型,公开,codecave,与InjectDLL1同.参数进程ID,整数型.参数DLL文件名,文本型.子程序inline_patch,逻辑型,公开,失败返回假,成功返回真;
适合patch尚未运行的加壳或不加壳的可执行文件.参数文件名,文本型,,文件全路径.参数模块名,文本型,,如"user32.dll".参数API,文本型,,如“CreateWindowExA”.参数地址,整数型,,如Hex2Dec(“00401000”).参数数据,字节集,,如Hex2Bin(“90909090”).子程序inline_patch_Pro,逻辑型,公开,失败返回假,成功返回真;
适合patch尚未运行的加壳不加壳的可执行文件,需要补丁的数据较多时建议使用这个,在子程序中打补丁.参数文件名,文本型,,文件全路径.参数模块名,文本型,,如"user32.dll".参数API,文本型,,如“CreateWindowExA”.参数子程序指针,子程序指针,,如&子程序1.子程序inline_patch_Pro1,逻辑型,公开,失败返回假,成功返回真
2023/10/13 4:13:48 545KB InlinePatch
1
永中Office二次开发API文档,分享给大家。
一起学习,支持国产软件。
2023/10/12 22:15:18 1.32MB 永中office
1
阿特拉斯Atlas是一个3DGIS可视化项目,旨在结合和一些基本功能。
它利用在同一空间中处理2D地图和3D模型。
依靠提供可定制的UI并提供强大的插件系统。
该项目的主要目的是在支持复杂的分析任务和更高级的研究目的的同时,提供更简单,更轻松的地理应用程序可视化。
它已经在Windows10,Fedora28和ubuntu16.04上进行了测试。
产品特点大型3D模型改进的性能,交互以及各种分析和测量工具,可用于:模型密集点云支持的其他模型地理资料通用地理数据格式和服务在3D空间中受支持并融合在一起。
本地文件:请参阅和栅格服务:XYZ切片,TMS,WMS,ArcGIS服务矢量服务:WFS,ArcGIS服务相干数据ApiAtlas为OSG,osgEarth和自定义插件支持的不同数据格式提供了高级且统一的api。
有关支持的数据格式,请参见:格式格式高度可扩展Atlas是基于插件构建的。
在插件的帮助下,可以轻松地向主程序中添加新功能或修改现有行为。
当前插件的完整列表可以在找到。
演示版该项目仍在开发中,但是提供了,因此您可以尝试
2023/10/11 21:37:13 11.2MB visualization cross-platform maps vr
1
DevPocketApi:Api保留系统快捷方式,并以模数形式添加AndroidDevPocket
2023/10/11 7:41:45 24KB JavaScript
1
通过百度地图API爬取的深圳市地铁分布数据,拓扑正确,WGS_1984坐标。
shp深圳地铁
2023/10/10 22:01:47 37KB wgs84 拓扑正确 百度地图 深圳地铁
1
此文档是MLX90640红外阵列传感器数据手册的补充文档,主要是MLX厂家针对传感器的C语言驱动API函数库的使用说明。
本来也很简单,翻译一下更符合中国人的阅读习惯。
2023/10/10 9:32:38 879KB MLX90640 红外阵列 红外成像 驱动库
1
webpack4中文手册,手工导出带书签,包含概念、配置、Api、指南、loader、插件,方便大家离线使用,感谢webpack中文网的各位贡献人员
2023/10/10 6:22:02 69.65MB webpack4 webpack webpack4手册
1
视频目录:1:课程大纲及运行效果介绍13:022:用fragmentTabHost实现底部菜单36:343:ToolBar的基本使用16:194:自定义ToolBar26:205:酷炫轮播广告22:176:RecyclerView详细介绍31:257:首页商品分类17:588:okHttp的使用28:269:OkHttp简单封装39:4610:主页商品分类重构15:0311:Fresco(FaceBook)使用介绍28:0312:下拉刷新SwipeRefreshLayout控件介绍17:1113:热门商品列表实现(下拉刷新,上拉加载更多)38:5314:Adapter封装29:1215:一级商品分类实现22:5016:二级商品列表实现19:2917:自定义数字加减控件28:2118:购物车数据存储器实现21:3319:显示购物车商品26:3720:购物车商品选择和总价统计15:3421:购物车编辑实现14:5722:分页工具类封装30:1823:商品排序功能实现(TabLayout)22:2024:商品列表list和grid模式切换实现10:5825:Native与HTML5交互32:4826:使用HTML5实现商品详情30:5927:商品分享(SharedSDK)23:1128:用户登录28:1629:API权限验证20:3030:App登录拦截14:5331:短信SDK集成26:0932:获取短信验证码27:4633:校验验证码和完成注册19:2634:支付SDK集成22:4135:提交订单29:4536:支付(支付宝,微信,百度钱包)订单12:4037:添加收货地址17:3338:收件地址管理20:1339:我的13:5440:我的订单24:0341:我的收藏06:0642:完结篇
2023/10/10 4:54:39 62B 视频教程
1
拼多多出码系统源码pdd通道出码拼多多渠道pdd支付安全稳定+详细教程拼多多平台出码系统大势所趋,解决了这些行业一部分难题,期待这套源码能帮助到你,带详细教程包括教程安装跟接入拼多多平台系统的具体方法,还带免费赠送PC端监控软件。
  1、PDD强悍的实时监控系统,PC端监控,平稳不掉单。
管理后台支持多账号轮询。
不需要提供太多繁琐的拼多多平台账户信息,几乎全部都是系统自动获取,收货发货签收全自动,成功率杠杠的。
  2、完善的对外API接口平稳(下单接口,异步通知接口),任何四方聚合支付系统都可接入,最快10分钟接入完成。
  3、完善支持微信H5、支付宝H5  拼多多平台出码系统源码+pdd通道出码+拼多多平台渠道pdd支付安全平稳(带详细教程)
2023/10/9 23:58:17 33.85MB h5 拼多多 支付
1
共 1000 条记录 首页 上一页 下一页 尾页
在日常工作中,钉钉打卡成了我生活中不可或缺的一部分。然而,有时候这个看似简单的任务却给我带来了不少烦恼。 每天早晚,我总是得牢记打开钉钉应用,点击"工作台",再找到"考勤打卡"进行签到。有时候因为工作忙碌,会忘记打卡,导致考勤异常,影响当月的工作评价。而且,由于我使用的是苹果手机,有时候系统更新后,钉钉的某些功能会出现异常,使得打卡变得更加麻烦。 另外,我的家人使用的是安卓手机,他们也经常抱怨钉钉打卡的繁琐。尤其是对于那些不太熟悉手机操作的长辈来说,每次打卡都是一次挑战。他们总是担心自己会操作失误,导致打卡失败。 为了解决这些烦恼,我开始思考是否可以通过编写一个全自动化脚本来实现钉钉打卡。经过一段时间的摸索和学习,我终于成功编写出了一个适用于苹果和安卓系统的钉钉打卡脚本。
2024-04-09 15:03 15KB 钉钉 钉钉打卡