近日360网站安全检测平台发布消息称,该平台协助知名开源电商系统ShopEx修复了一个SQL注入高危漏洞,目前ShopEx官网已发布补丁,提醒广大站长尽快做好安全更新。同时,360网站卫士用户已可免疫此ShopEx漏洞,加入360网站卫士防护的网站不受影响。
据悉,ShopEx是国内市场份额最高的网店系统之一,正广泛应用于各种规模的电商网站。鉴于电商网站存在大量用户资料和交易记录,因此一直是黑客重点入侵的对象。据360发布的《2013中国电商行业网站安全检测报告》显示:国内电商网站安全检测平均成绩仅65分,平均每天有24.5家电商网站遭黑客攻击,一些网站频繁曝出用户数据库泄露、网页被篡改等事故,电商网站安全性成为消费者选择网购平台的关注焦点。
360网站安全工程师介绍说,ShopEx是国内相对更重视漏洞修复的建站系统,能够及时响应漏洞报告。最新出现的ShopEx SQL注入漏洞存在于修改收货地址的页面,黑客可以利用漏洞查询网站数据信息甚至“拖库”。360网站漏洞悬赏项目“库带计划”收到该漏洞报告后,第一时间通知ShopEx进行修复,并协助对方快速推出补丁。
ShopEx官方补丁下载地址:http://bbs.shopex.cn/read.php?tid-302369.html
图:360协助ShopEx修复SQL注入漏洞
ShopEx SQL注入漏洞原理
漏洞存在于/core/shop/controller/ctl.member.php文件中的saveRec方法中,对传入的用户参数未作任何过滤。
漏洞利用效果及危害
可被攻击者用户获取数据库任意数据,包括管理员账号及密码哈希,甚至“拖库”等。黑客可以直接执行SQL语句,可能获取数据、修改数据、删除数据等,甚至控制服务器。ShopEx官网已对此发布安全补丁。