TPshop的支付证书url直接访问漏洞

时间  2019-12-04
标签 tpshop 支付 证书 url 直接 访问 漏洞 栏目 HTTP/TCP 繁體版
原文   原文链接

TpShop的微信支付的证书路径都是固定的,若是不刻意去改的话php

路径是:nginx

$wxchat['api_cert'] = '/plugins/payment/weixin/cert/apiclient_cert.pem';
$wxchat['api_key'] = '/plugins/payment/weixin/cert/apiclient_key.pem';
$wxchat['api_ca'] = '/plugins/payment/weixin/cert/rootca.pem';

这样能够经过URL把证书直接下载下来api

因此须要禁掉URL访问微信

以nginx为例:微信支付

禁止访问后缀为pemcode

location ~ .*\.(pem)?$
{ 
	deny all; 
}
相关文章
相关标签/搜索
每日一句
    每一个你不满意的现在,都有一个你没有努力的曾经。
本站公众号
   欢迎关注本站公众号,获取更多信息
联系我们 最近搜索 最新文章 沪ICP备13005482号-10 MyBatis教程 SQL 教程 MySQL教程 Java 教程 Thymeleaf 教程 Hibernate教程 Spring教程 Redis教程