ecshop 小米手机商城

ecshop 小米手机商城

       在接下来的时间里，我将尽力回答大家关于ecshop 小米手机商城的问题，希望我的解答能够给大家带来一些思考。关于ecshop 小米手机商城的话题，我们开始讲解吧。

1.木马是怎样攻入Ecshop商城的

2.有谁用过ecstore啊，复杂不，和ecshop有什么区别？

3.网上商城系统哪个最好用？

4.ECSHOP和SHOPEX哪个好？

5.ECShop安全吗？

木马是怎样攻入Ecshop商城的

       Ecshop是一套网络商城建站系统，主要服务于想快捷搭建商城系统的用户，该系统是个人建立商城的主流软件。

       在网络上，主要有两种类型的网络购物，一类是像淘宝这样的C2C站点，另一类是像卓越这样的B2C站点。B2C站点除了卓越、当当等大型站点外，还有很多规模较小的B2C站点，由于这些中小型B2C站点数目较大，因此每天的成交量也非常可观。

       这些的中小型B2C站点通常没有专业的建站团队，站点都是站长通过现成的商城程序搭建起来的，其中Ecshop网络商城系统用得最多，因此一旦这套系统出现安全问题，将会波及网络上所有采用这套系统建立的B2C站点。

       但不幸的事情还是发生了，Ecshop出现了严重的安全漏洞，黑客可以运用 该漏洞入侵站点，窜改商品价格，更令人担忧的是该漏洞可以被用来挂马，所有访问商城的用户都会中毒，他们的各种账号和密码可能被盗。此外，黑客可以修改站点的支付接口，用户购买商品时货款会直接打到黑客的账户中。

       本文主角：Ecshop商城 V2.5.0

       问题所在：含有SQL漏洞

       主要危害：用于挂马、入侵服务器等

       Ecshop存在SQL注入漏洞

       运用 Ecshop漏洞须要用到SQL注入。由于程序员的疏忽，没有对User.php文件中的SQL变量实行过滤，从而导致SQL注入的发生。黑客可以构造特殊的代码，直接读取存放在站点数据库中的管理员账号和密码。

       漏洞的运用 非常基本，只需在站点地址后输入“user.php?act=order_query&order_sn=' union select 1，2，3，4，5，6，concat(user_name，0x7c，password，0x7c，email)，8 from ecs_admin_user/*”这样一句代码就可以读出站点数据库中的管理员账号和密码。

       挂马流程揭秘

       第一步：寻找入侵目标

       在百度或谷歌中以“Powered by Ecshop v2.5.0”为关键字实行搜索(图1)，可以找到很多符合条件的站点，随便挑选一个站点作为测试目标。须要留心的是，站点越小安全防护也越弱，成功率相比较较高。

       第二步：获得管理员账号和密码

       打开测试站点，在其网址后输入：user.php?act=order_query&order_sn=' union select 1，2，3，4，5，6，concat(user_name，0x7c，password，0x7c，email)，8 from ecs_admin_user/*。

       例如该站点网址为/，则完整的漏洞运用 地址为：/ user.php?act=order_query&order_sn=' union select 1，2，3，4，5，6，concat(user_name，0x7c，password，0x7c，email)，8 from ecs_admin_user/*。

       输入完毕后回车，如果看到类似图2的界面，则说明漏洞被运用 成功了。在返回的信息中，可以发觉很主要的内容，包括站点管理员的账号、密码及E-mail地址。从图2可以找到，管理员账号为admin，密码为c93ccd78b2076528346216b3b2f701e6。密码是经过MD5加密的，所以看到的是一串32位长的字符，须要对这串字符实行破解才能看到真实的密码。

       第三步：破解MD5密码

       虽然密码经过MD5加密，但是通过破解是可以得到密码原文的。将c93ccd78b2076528346216b3b2f701e6这段MD5值复制下来，打开MD5在线破解站点 /。

       把这串MD5值复制到站点页面正中间的文本框中，点击“MD5加密或解密”按钮，密码原文就被破解出来了——admin1234(图3)。当然，破解MD5值靠的是运气，如果管理员将密码配置得很复杂，例如“数字+字母+特殊符号”的组合，那么就很难破解出密码原文。

       如果MD5在线破解站点无法破解出密码原文，那么也可以采用MD5暴力破解软件来实行破解，当然耗费的时间会很长，在这里就不多作介绍了。

       第四步：上传木马

       既然管理员账号和密码都已拿到手，接下来我们就可以登录站点的后台了。在站点网址后输入admin并回车，将会出现站点后台登录页面，输入管理员账号admin、密码admin1234即可登录。

       来到后台，我们可以看到Ecshop的站点后台功能是非常多的，当然这也给了我们上传木马的机会。点击“系统配置 ”中的“Flash播放器管理”链接(图4)。打开后再点击“添加自定义”按钮。

       这时我们会来到一个上传的页面，在这里不仅仅可以上传，还能轻轻松松地上传木马!这里我们选择一款功能强大的PHP木马，点击“确定”按钮即可将木马上传(图5)。

       上传成功后，进入“轮播地址”，在这里我们可以看到上传的木马的的路径(图6)。

       将地址复制到浏览器地址栏中并打开，可以在里面任意浏览、修改甚至删除站点中的文件(图7)，最后就是在站点首页中插入挂马代码，当用户浏览商城首页的时候，就会激活病毒，病毒会偷偷地入侵用户的计算机。

       防备方案

       要修补该漏洞，须要对User.php文件中的SQL变量实行严格的过滤，不允许恶意调用变量查询数据库。普通读者在上网时，最好运用能拦截网页木马的安全辅助工具，防止网页木马的骚扰。

有谁用过ecstore啊，复杂不，和ecshop有什么区别？

       具体操作方法：

       （1）、在商城系统里找/themes/default/library/recommend_best.lbi

       找到

       <font class="f1">

       在它上边增加一行

       {if $goods.brand_name}<p>品牌:{$goods.brand_name}</p>{/if}

       （2）、在商城系统里找/themes/default/library/recommend_new.lbi ，修改方法同上

       （3）、在商城系统里找/themes/default/library/recommend_hot.lbi ，修改方法也同上

       （4）、在商城系统中找到themes/default/library/recommend_promotion.lbi ，

       找到下面代码

       {$lang.promote_price}<font class="f1">{$goods.promote_price}</font>

       在它上边添加如下代码

       {if $goods.brand_name}<p>品牌:{$goods.brand_name}</p>{/if}

       刷新看看，是不是多了一个品牌，如果刷新没有变化，请到后台清除缓存再试一下。

网上商城系统哪个最好用？

       Ecstore是上海商派（zhida265）推出的是基于新一代的“电子商务解决方案驱动引擎”ECOS开发的企业级开源网上商店系统，系统是基于PHP语言及MYSQL数据库构架开发的跨平台开源程序。目前版本分为：标准版与授权版。

       主要运用于帮助企业轻松拓展网上生意；从促销推广到会员引入,从购物流程到订单生成,从订单收订到库房发货,Ecstore基础版让电子商务各个环节举重若轻。

       1、开源不同

       Ecstore是商业程序，有开源版本，但是费用相对比较高，但是Ecstore的开发机制是很灵活的，Ecstore基础版采用SOA（面向服务）架构,采用模块化开发,同时内置完善的API接口,可无缝对接第三方应用插件。

       并且Ecstore标准版引入应用程序接入机制（APP）,用户可自主选择、添加、维护或删除应用程序,如通过安装APP,可便捷实现信任登录功能。

       Ecshop：是一款开源免费的通用电子商务平台构建软件，用户可以根据自己的商务特征对ECSHOP进行定制，增加自己商城的特色功能。

       但是无论对于开源系统的开发，还是对于不开源系统的开发，都要准寻一个问题，就是不能随意开发。开源和不开源只是相对而说。对于不会代码的人，开源等于不开源。对于会代码的人，不开源，也无任何影响。

       2、周边程序不同

       Ecstore：只是商派的一个平台，现在商派还基于Ecstore推出了一系列的产品，比如CRM、ERP以及saas部署的易开店等等。一步步完善了电商的生态圈。ecshop：就一个版本。

       3、投入方面不同

       ECSHOP前期系统投入成本较低，但开发扩展投入成本随着业务量增长，业务复杂度变化，开发成本成倍上升。

       ECStore因大量研发资源投入，固前期系统投入成本具备一定门槛，但开发扩展投入成本随着业务量增长，业务复杂度变化，开发成本可控，且外围专业技术服务资源可选性较为广泛。

       4、模板设计不同

       Ecstore：具有强大的模板自由定制功能，内置多套模板，您可随时更换调整，更可对每个模板进行个性化编辑，不再千人一面;清风设计也可以为您量身定制个性化模板，Ecstore免费开放模板接口，您也可以自行设计、使用全新模板。并且Ecstore的模板支持可视化编辑，很方便用户操作。

       ECSHOP：对Dreamweaver模板机制提供完美支持。可使用Dreamweaver制作和查看自己的模板。同时程序提供对模板显示内容控制。

       如可以在页面上灵活添加指定分类的商品，或指定品牌的商品等。可随意调整广告的显示，而无需手动修改模板。

       5、搜索优化

       Ecstore：标准版针对搜索引擎进行优化,结合用户自定义URL等手段,在基本描述内容外,根据系统页面分布,

       针对性增加nofollow、noindex等SEO标签,引导搜索引擎蜘蛛爬行,避免商品分类等内容重复度较高页面出现重复,极大提升SEO效果。

       ECShop：在SEO（搜索引擎优化）上，独家支持两种URL重写方式，并且是同类软件中第一家支持google/yahoo/microsoft三家共同发布的sitemaps0.9网站索引规范，能够为站点被搜索引擎收录做到最大限度的支持和帮助。

       6、数据承载

       Ecstore：支持日常2500万PV/日，峰值5000万PV/日，强大的负载能力。

       Ecshop：支持日常2500PV/日，峰值5000PV/日。

       7、促销模式

       ECstore：拥有业内领先的促销引擎，可结合商品、订单属性，实现千变万化的促销规则,默认可支持近200种促销规则实例，更可支持订单重量、商品类型、商品数量等等数百种条件组合。

       ECSHOP：提供了积分、红包、赠品，夺宝奇兵等7种促销方法。

       8、常规功能

       Ecstore：控制面板立足于“系统配置、数据管理、地区管理、支付管理和配送设置”等,做到准确到位,全局管控；订单系统Ecstore拥有先进订单管理系统,从“订单确认、订单指派、单据管理,到售后服务管理”,结构清晰、逻辑规范,用户轻松上手。

       Ecshop：针对常规功能尤其是后台管理和购物流程，ECShop进行了更简洁的设计，实现更好的用户体验。

       9、多接触点用户移动触屏体验管理

       ECstore：移动触屏组件采用最新的HTML5技术，能够根据手机终端的不同型号进行应用的自动适配，完全各种电子销售渠道的自动延伸和扩展，在不同的终端带给用户一致的用户体验；

       微信商城基于微信平台，让微信5亿用户更了解企业品牌，减少宣传成本，建立企业与消费者、客户的一对一互动和沟通，提供更好的促销、推广、宣传、售后等服务，打造更具影响力的品牌形象。

       Ecshop：无

       10、性能方面

       Ecstore：基于ShopEx自主研发的新一代电子商务引擎ECOS,提供更加安全稳定的底层架构,全方位优化系统架构,同时引入HTML静态生成技术和多级缓存技术,减轻服务器负担,使得前台响应速度和系统负载能力得到极大的提升。

       通过大量的测试表明,即使有较大的访问量和数据处理时,Ecstore依然能流畅的提供各项日程服务,即使因营销推广如秒杀等活动造成瞬时大流量,配合ShopEx救援服务依然能确保电商平台的有序运作。

       Ecshop：通过优化代码与数据库结构，配合ecshop独家设计的缓存机制，在不考虑网速的情况下，网店动态页面与纯静态页面访问速度相当。

       11、价格

       Ecstore：是商业的电子商务软件，必须要购买他们的授权才能使用，最低的一个版本是快速启动版，授权费是6.8W，其他更高阶的版本，几万到几十万不等。

       Ecshop：可以免费下载使用，但是不能用于商业，如果需要用于商业的话，需要购买他们的授权，授权费是5000元。

       shopex和ecshop是目前国内流行的两款电商软件。

扩展资料：

       Ecstore秉承了ShopEx产品一贯技术领先的理念,融合了ShopEx在电子商务领域多年的行业经验,采用模块化开发,内置完善的API接口,无缝对接第三方应用插件,提供安全、稳定的底层架构,可为企业提供快速搭建品牌旗舰在线零售平台,以及扩充多渠道销售的解决方案。

       Ecstore采用Object-ResourceMap设计,独立的认证授权机制,严格安全的角色访问控制,对核心代码进行多级加密,对数据提供全方位、高级别的防范保护,真正确保数据安全、登录安全、支付安全、资金安全、管理安全。

       同时采用云主机集群化的服务器部署,以及提供全程主机运维服务,更有增值运维服务提供应用安全扫描、配置性能优化、安全加固以及营销推广活动造成的大流量救援服务。

       Ecstore基于ShopEx自主研发的新一代电子商务引擎ECOS,提供更加安全稳定的底层架构,全方位优化系统架构,同时引入HTML静态生成技术和多级缓存技术,减轻服务器负担,使得前台响应速度和系统负载能力得到极大的提升。

       

参考资料：

百度百科－Ecstore

ECSHOP和SHOPEX哪个好？

       就国内商城系统来说，有5款值得推荐且各有特点。

       一、YISHOP采用PHP+mysql开发,有很强的高负载能力，后期二次开发拓展性强，响应速度很快，里面的功能很强大，是后起之秀。

       二、Hishop 采用.net+mssql开发，系统后台简便快捷容易上手，可化视模板编辑方便。是老牌系统。

       三、Shopex 采用php+mysql开发，知名度高，客户基数大，但后台较为繁杂，不容易上手。

       四、ECshop 也是采用php+mysql开发，开源，功能比上述两个差，但是由于自由，开放，很受个人站长的喜爱，且模板也非常多。后来相对shopex来说简单，相对Hishop来说还是复杂。

       五、V5shop 采用.net+mysql开发，是后起之秀，产品没有突出的优点，也没很大的缺点，比较中庸，当然，文章系统是一亮点。

ECShop安全吗？

       ECshop最大的优点在于开源，能够自定义开发；而shopEX得优点在于官方模版多，界面美观，操作简单，用户体验好。

       可见，ECshop需要改进的地方还不少。

       就个人使用体验来说：shopEX的商品展示是二栏设计，这就可以使在同一行中可以展示更多的商品，这对一个网店来说我觉得非常重要。而ECshop是三栏设计，同一行中最多只能展示4个商品，网页中下方的两侧往往是空白的，觉得很可惜。

       虽然ECshop在界面上不是很友好，但是综合比较，还是觉得ECshop比较适合开发者使用。ECshop的运行效率明显高于shopEX，毕竟缩短的程序执行时间可以留给客户做更多的事情。

       互联网上的任务东西都存在在一定的风险，没有一个绝对的安全；如果你决定使用ecshop的话，我只能给你一些建议。

       一，ecshop安装，其实很简单，只要一直下一步下一步点击即可，这样总是没有错的，因为官方不可能给我们一个有问题的程序，尽量从简即可。

       请注意一下两点

       A：在安装ecshop的时候，不要将所有文件都设置成777。参考ecshop指导，将必须要的文件设置一下即可。

       B：安装ecshop的时候，建议不要用admin用户名，并设置复杂的密码

       C：mysql数据库，默认前缀是ecs,建议将他修改成其他的.

       二，ecshop网店的安全问题还要设置好网站的目录权限

       一

       般来说，黑客攻击都会选择API/CERT/ IMAGES/

       JS/LANGUAGES/widget这些文件，所以要设置每一个页面的权限，这方面可以参考官方的一些文档。有php基础的朋友，可以对

       user.php今天修改，对SQL变量进行过滤，可以防止被挂马。

       三，ecshop安全方面的细节

       对于ecshop的会员管理方面，一定要及时的清理垃圾信息，这样的垃圾会员很容易会登入到你的后台，这样的话后果不堪设想了。

       四，ecshop模板与插件

       其实这点很是重要，一个商城，模板就是一个门面，外面有太多太多的免费模板与插件，不过可能会有后门的存在，这是有一定风险的。

       五，修改登入地址

       272版本之后修改后台登录地址非常方便，步骤如下

       1，修改admin文件夹名称为“68ecshop”

       2，打开data/config.php文件，搜里面所有“admin”字样改成“68ecshop”字样就行。

       3，这样访问域名/68ecshop 即可连接到后台

       六，定期更新ecshop补丁。因为ecshop官方是会随时出安全补丁的，只要定期更新补丁就可以避免由于漏洞的存在遭到入侵了。

       设置了以上这些后，你的网站安全系数会得到一个很好的提升。

       非常高兴能与大家分享这些有关“ecshop 小米手机商城”的信息。在今天的讨论中，我希望能帮助大家更全面地了解这个主题。感谢大家的参与和聆听，希望这些信息能对大家有所帮助。