ITBear旗下自媒体矩阵:

360协助ShopEx修复高危漏洞 电商网站快打补丁

   时间:2013-06-25 17:49:47 来源:互联网编辑:星辉 发表评论无障碍通道

近日360网站安全检测平台发布消息称,该平台协助知名开源电商系统ShopEx修复了一个SQL注入高危漏洞,目前ShopEx官网已发布补丁,提醒广大站长尽快做好安全更新。同时,360网站卫士用户已可免疫此ShopEx漏洞,加入360网站卫士防护的网站不受影响。

据悉,ShopEx是国内市场份额最高的网店系统之一,正广泛应用于各种规模的电商网站。鉴于电商网站存在大量用户资料和交易记录,因此一直是黑客重点入侵的对象。据360发布的《2013中国电商行业网站安全检测报告》显示:国内电商网站安全检测平均成绩仅65分,平均每天有24.5家电商网站遭黑客攻击,一些网站频繁曝出用户数据库泄露、网页被篡改等事故,电商网站安全性成为消费者选择网购平台的关注焦点。

360网站安全工程师介绍说,ShopEx是国内相对更重视漏洞修复的建站系统,能够及时响应漏洞报告。最新出现的ShopEx SQL注入漏洞存在于修改收货地址的页面,黑客可以利用漏洞查询网站数据信息甚至“拖库”。360网站漏洞悬赏项目“库带计划”收到该漏洞报告后,第一时间通知ShopEx进行修复,并协助对方快速推出补丁。

ShopEx官方补丁下载地址:http://bbs.shopex.cn/read.php?tid-302369.html

图:360协助ShopEx修复SQL注入漏洞

ShopEx SQL注入漏洞原理

漏洞存在于/core/shop/controller/ctl.member.php文件中的saveRec方法中,对传入的用户参数未作任何过滤。

漏洞利用效果及危害

可被攻击者用户获取数据库任意数据,包括管理员账号及密码哈希,甚至“拖库”等。黑客可以直接执行SQL语句,可能获取数据、修改数据、删除数据等,甚至控制服务器。ShopEx官网已对此发布安全补丁。

举报 0 收藏 0 打赏 0评论 0
 
 
更多>同类资讯
全站最新
热门内容
网站首页  |  关于我们  |  联系方式  |  版权声明  |  RSS订阅  |  开放转载  |  滚动资讯  |  争议稿件处理  |  English Version