1. 论坛系统升级为Xenforo,欢迎大家测试!
    排除公告

ECSHOP曝二次注入高危漏洞 站长需尽快打补丁

本帖由 九月的奇迹2013-07-22 发布。版面名称:源码讨论

  1. 九月的奇迹

    九月的奇迹 New Member

    注册:
    2012-09-19
    帖子:
    44
    赞:
    0
      ECSHOP是热门电商建站系统,很多知名电商都在使用。如果系统出现漏洞,被入侵甚至拖库,将给网站和用户带来巨大损失。近日,360网站安全第三方漏洞收集平台收到白帽子提交的ECSHOP二次注入高危漏洞,黑客可以利用此漏洞直接执行SQL语句,可以获取数据、修改数据、删除数据,甚至写入后门,进而控制服务器。对此,360已于第一时间向ECSHOP通报了该漏洞细节并协助推出了官方修复补丁,请使用该建站程序的网站站长尽快修复。补丁地址:h ttp://bbs.ecshop.com/thread-1131753-1-1.html
      “360第三方漏洞收集平台”是360公司推出的漏洞悬赏项目,以现金奖励方式征集开源建站系统漏洞,用以帮助软件公司和开发者及时推出漏洞补丁,加强国内网站对黑客攻击“拖库”的防范能力。已经协助多家厂商修复了漏洞,涉及Discuz!、ShopEx、ECShop、PHPWind、PHPCMS、DEDECMS等知名建站系统。
      对于无法立刻修复漏洞的网站,建议启用360免费网站防护产品—360网站卫士,可以帮助网站防入侵、防攻击、防篡改,而且可以快速配置。地址:ht tp://wangzhan.360.cn/
      
      附:漏洞原理:
      漏洞存在mobile页面,由于用户注册能使用任意字符作为用户名,导致后续的二次注入漏洞,用户注册未过滤。
     
  2. 会天山飞的猪

    会天山飞的猪 New Member

    注册:
    2012-11-22
    帖子:
    47
    赞:
    0