360安全檢測消息報,360安全中心的網(wǎng)站安全檢測平臺獨家發(fā)現(xiàn)網(wǎng)店系統(tǒng)ECShop支付寶插件存在高危0day漏洞。這一漏洞可以使黑客隨便進入數(shù)據(jù)庫做危險動作,其中包括獲取網(wǎng)站重新資料。做為電子商務(wù)免費的平臺,ECSHOP的普及率非常大,如果被人利用,將產(chǎn)生不小的影響,對此漏洞,360安全中心給出了解決方案。
據(jù)360安全技術(shù)人員分析,這次出現(xiàn)的ECShop漏洞存在于/includes/modules/payment/alipay.php文件中,這個是支付寶的支付組件。因為ECShop源碼過渡使用了str_replace函數(shù)做字符串替換,黑客可繞過單引號限制構(gòu)造SQL注入語句。只要開啟支付寶支付插件就能利用該漏洞獲取網(wǎng)站數(shù)據(jù),且不需要注冊登入。ECSHOP的的版本同時都有這個漏洞,包括GBK與UTF-8。
這一漏洞發(fā)現(xiàn)不久,ECShop官網(wǎng)已經(jīng)發(fā)布相關(guān)程序補丁。360網(wǎng)站安全檢測平臺也第一時間向注冊用戶發(fā)送了告警郵件,提醒用戶盡快打補丁,防止黑客拖庫攻擊。同時,360安全工程師建議網(wǎng)站管理員及個人站長使用360網(wǎng)站安全檢測平臺對網(wǎng)站進行全面體檢,掌握網(wǎng)站安全狀況,并使用360網(wǎng)站衛(wèi)士防御黑客攻擊。簡單的辦法,建議您盡快到ECSHOP官網(wǎng)升級最新補丁,免得事后麻煩哦。
轉(zhuǎn)載請注明出處: http://b293s63.cn/html/201302/19158.html