安全研究
安全漏洞
ShopFactory购物车价格可更改漏洞
发布日期:2002-12-02
更新日期:2002-12-06
受影响系统:ShopFactory ShopFactory 5.8
ShopFactory ShopFactory 5.6
ShopFactory ShopFactory 5.5
描述:
ShopFactory是一款在线电子购物系统。
ShopFactory对Cookie数据缺少正确检查,远程攻击者可以利用这个漏洞修改购物车物品价格。
ShopFactory一般包所有购物车内容存放在用户浏览器的Cookie中,包括产品ID,描述和价格等,在结帐的时候将引用这些信息。但是如果购物时用户设置的"Remember Shopping cart for (days)"值为0,Cookie信息就不会被程序建立,但是ShopFactory仍旧会去读取用户系统中的Cookie,这样攻击者可以构建自己任意更改的Cookie信息,如价格,提交给系统使用。
<*来源:Richard van den Berg (
richard@trust-factory.com)
链接:
http://marc.theaimsgroup.com/?l=bugtraq&m=103886568925173&w=2
*>
建议:
厂商补丁:
ShopFactory
-----------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.shopfactory.com/浏览次数:3306
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载 绿盟科技给您安全的保障 |