被黑了？附加文件名如何允许访问网站数据...参见示例

Question 1

在包含所有脚本的 includes/application_top 中，/admin你会发现这个小宝石（我已将一些不感兴趣的部分删除）：

// redirect to login page if administrator is not yet logged in
if (!tep_session_is_registered('admin')) {
    $redirect = false;

    $current_page = basename($PHP_SELF);

    if ($current_page != FILENAME_LOGIN) {
        // session stuf blabla
        $redirect = true;
    }

    if ($redirect == true) {
        tep_redirect(tep_href_link(FILENAME_LOGIN));
    }

    unset($redirect);
}

此代码仅在您未登录时执行。它基本上会检查是否basename为$PHP_SELFlogin.php。如果是 login.php，则继续呈现页面，否则您将被重定向。

如果您提出此请求：

http://mysite.com/admin/configuration.php/login.php

然后 PHP_SELF 将会

/admin/configuration.php/login.php

当然basename($PHP_SELF)会login.php这样，渲染继续，不执行重定向。但当然不会login.php渲染，而是configuration.php。URL“/login.php”的其余部分将被“忽略”，并仅提供给 $_SERVER['PATH_INFO'] 中的 PHP。

编辑：我想补充一点，这个“漏洞”只会影响 oscommerce 或任何其他使用类似解决方案来“保护”管理登录的软件（我认为受此影响的软件并不多）。它并不是影响所有 PHP 软件的漏洞。

Answer

在包含所有脚本的 includes/application_top 中，/admin你会发现这个小宝石（我已将一些不感兴趣的部分删除）：

// redirect to login page if administrator is not yet logged in
if (!tep_session_is_registered('admin')) {
    $redirect = false;

    $current_page = basename($PHP_SELF);

    if ($current_page != FILENAME_LOGIN) {
        // session stuf blabla
        $redirect = true;
    }

    if ($redirect == true) {
        tep_redirect(tep_href_link(FILENAME_LOGIN));
    }

    unset($redirect);
}