科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道网络安全360协助ShopEx修复高危漏洞

360协助ShopEx修复高危漏洞

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

360网站安全检测平台昨日透露,该平台近期协助ShopEx(商派)网上商店系统修复两处高危漏洞,建议广大采用ShopEx建站系统的电商网站尽快安装补丁。据介绍,ShopEx漏洞由技术高手cond0r提交给360网站安全漏洞悬赏“库带计划”,从而推动ShopEx快速修复了漏洞。

来源:ZDNet安全频道 2013年4月11日

关键字: 安全漏洞 360网站安全检测

  • 评论
  • 分享微博
  • 分享邮件

4月10日消息,360网站安全检测平台透露,该平台近期协助ShopEx(商派)网上商店系统修复两处高危漏洞,建议广大采用ShopEx建站系统的电商网站尽快安装补丁。据介绍,ShopEx漏洞由技术高手cond0r提交给360网站安全漏洞悬赏“库带计划”,从而推动ShopEx快速修复了漏洞。

ShopEx系统是国内市场占有率最高的B2C网店建站系统之一,众多知名企业均使用该系统建立电商网站。一旦ShopEx系统的漏洞被黑客利用,大批电商网站将面临数据库被“拖库”、网站被篡改等风险,也会对网购消费者造成严重损失。360协助ShopEx修复漏洞,有助于广大电商网站提升防黑能力,保护消费者的账号安全。

此次,360“库带计划”接到的ShopEx漏洞包括SQL注入漏洞和文件包含漏洞。其中,SQL注入漏洞直接威胁网站服务器和数据库,可导致数据库被黑客“拖库”;文件包含漏洞则可被黑客利用获取服务器敏感文件内容,或直接执行恶意脚本等,同样具有较大危害。

据悉,360“库带计划”是国内首个第三方漏洞付费收录平台,以现金奖励方式征集开源建站系统漏洞,单个漏洞奖励金额最高可达1万元。自3月份“库带计划”启动以来,360网站安全检测平台已经收集了包括DISCUZ、PHPWIND、DEDECMS、PHPCMS、齐博CMS、NetGather等多个知名建站系统的漏洞,并协助厂商及时修复。

目前,ShopEx官网已经发布漏洞补丁,360网站安全检测平台(http://webscan.360.cn)也第一时间向注册用户发送了告警邮件,提醒站长们尽快打补丁;同时建议网站站长们免费启用360网站卫士(http://wangzhan.360.cn/),可以在官方补丁发布前有效防范各种0day漏洞攻击。

附:ShopEx网上商店系统漏洞及补丁情况

ShopEx官方补丁程序下载地址:http://bbs.shopex.cn/read.php?tid-299932.html

ShopEx系统文件包含漏洞存在于/core/api/shop_api.php文件中的shop_api函数中:

360协助ShopEx修复高危漏洞图1:ShopEx文件包含漏洞对应的代码位置

以下是测试demo:

360协助ShopEx修复高危漏洞图2:文件包含漏洞测试效果

SQL注入漏洞存在于/core/shop/controller/ctl.member.php文件中的insertRec函数中:

360协助ShopEx修复高危漏洞图3:SQL注入漏洞对应的代码位置

利用SQL注入漏洞获取到用户名密码hash值:

360协助ShopEx修复高危漏洞图4:SQL注入漏洞利用效果

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章