樂購網訊 4月10日消息,360網站安全檢測平臺透露,該平臺近期協助ShopEx(商派)網上商店系統修復兩處高危漏洞,建議廣大采用ShopEx建站系統的電商網站盡快安裝補丁。據介紹,ShopEx漏洞由技術高手cond0r提交給360網站安全漏洞懸賞“庫帶計劃”,從而推動ShopEx快速修復了漏洞。
ShopEx系統是國內市場占有率最高的B2C網店建站系統之一,眾多知名企業均使用該系統建立電商網站。一旦ShopEx系統的漏洞被黑客利用,大批電商網站將面臨數據庫被“拖庫”、網站被篡改等風險,也會對網購消費者造成嚴重損失。360協助ShopEx修復漏洞,有助于廣大電商網站提升防黑能力,保護消費者的賬號安全。
此次,360“庫帶計劃”接到的ShopEx漏洞包括SQL注入漏洞和文件包含漏洞。其中,SQL注入漏洞直接威脅網站服務器和數據庫,可導致數據庫被黑客“拖庫”;文件包含漏洞則可被黑客利用獲取服務器敏感文件內容,或直接執行惡意腳本等,同樣具有較大危害。
據悉,360“庫帶計劃”是國內首個第三方漏洞付費收錄平臺,以現金獎勵方式征集開源建站系統漏洞,單個漏洞獎勵金額最高可達1萬元。自3月份“庫帶計劃”啟動以來,360網站安全檢測平臺已經收集了包括DISCUZ、PHPWIND、DEDECMS、PHPCMS、齊博CMS、NetGather等多個知名建站系統的漏洞,并協助廠商及時修復。
目前,ShopEx官網已經發布漏洞補丁,360網站安全檢測平臺(http://webscan.360.cn)也第一時間向注冊用戶發送了告警郵件,提醒站長們盡快打補丁;同時建議網站站長們免費啟用360網站衛士(http://wangzhan.360.cn/),可以在官方補丁發布前有效防范各種0day漏洞攻擊。
附:ShopEx網上商店系統漏洞及補丁情況
ShopEx官方補丁程序下載地址:http://bbs.shopex.cn/read.php?tid-299932.html
ShopEx系統文件包含漏洞存在于/core/api/shop_api.php文件中的shop_api函數中:
圖1:ShopEx文件包含漏洞對應的代碼位置
以下是測試demo:
圖2:文件包含漏洞測試效果
SQL注入漏洞存在于/core/shop/controller/ctl.member.php文件中的insertRec函數中:
圖3:SQL注入漏洞對應的代碼位置
利用SQL注入漏洞獲取到用戶名密碼hash值:
圖4:SQL注入漏洞利用效果
關于360網站安全服務
360為站長提供免費的網站安全解決方案,包括360網站安全檢測平臺和360網站衛士:
360網站安全檢測平臺是國內首個集網站漏洞檢測、網站掛馬監控、網站篡改監控于一體的免費檢測平臺,擁有全面的網站漏洞庫及蜜罐集群檢測系統,能夠第一時間協助網站檢測修復漏洞;
360網站衛士則為站長免費提供網站防火墻、DDOS保護、CC保護、智能DNS解析、盜鏈保護、頁面壓縮、緩存加速和永久在線等服務。
【想看更多互聯網新聞和深度報道請關注樂購網官方微信。(微信號:樂購網)】
推薦閱讀
速途網訊 北京時間今日凌晨,微軟發布了例行的安全公告。修復了IE瀏覽器、Windows系統內核、遠程桌面客戶端及Office軟件等多個重要安全漏洞。與此同時,Adobe公司又借微軟補丁日的東風,完成了4月Flash安全更新的首發>>>詳細閱讀
本文標題:360網站安全檢測平臺協助ShopEx修復高危漏洞
地址:http://www.xglongwei.com/a/11/20130416/265256.html
網友點評
精彩導讀
科技快報
品牌展示