ShopEx曝SQL注入漏洞 电商网站面临“拖库”威胁
2012-07-10 10:04 牛华网 我要评论(0)
字号:T|T
近日,乌云漏洞平台爆料称ShopEx 4.8.5版存在SQL注入漏洞(http://www.wooyun.org/bugs/wooyun-2010-08597),黑客利用该漏洞可获得网站管理员密码,进而控制网站服务器,窃取用户帐号密码(又称为“拖库”)。360网站安全检测平台发现,目前绝大多数ShopEx网站用户均存在该漏洞,主要为电子商务类网店。
ShopEx是国内市场占有率最高的网店软件之一,众多知名商城网店、分销网站,以及品牌商城均使用ShopEx建站并进行管理。SQL注入则是最常见的网站高危漏洞,之前CSDN等网站泄密大多与SQL注入漏洞有关。黑客利用ShopEx的漏洞获取管理员MD5密码后,可碰撞破解获得原始密码,破解成功率一般在95%以上。
360网站安全检测平台分析认为,导致ShopEx SQL注入漏洞的核心函数是:\core\model_v5\trading\mdl.goods.php(图1)
图1:导致ShopEx存在SQL注入漏洞的核心函数
图2:函数被调用
(图2)中的函数在\core\shop\controller\ctl.product.php 文件中被调用。
由于漏洞影响用户众多,且对网站危害较大,所以360安全检测平台在第一时间向旗下用户发送了告警邮件,同时建议所有使用ShopEx用户立即下载安装官方提供的补丁进行修复,并定期使用360安全检测服务随时掌控网站安全状态。
ShopEx官方补丁下载地址:http://bbs.shopex.cn/read.php?tid-269636.html
360网站安全检测平台服务网址:http://webscan.360.cn
相关报道:
- 百度360法院二度交锋“插标门”未当庭宣判2013-08-14
- 互联网大会首日干货分享 搜狐与360同台唱戏2013-08-13
- 360推全新特供机——朵唯CiCi 明日京东首发2013-08-12
- 360副总裁陈杰:360只做平台 不做游戏2013-07-29
- 安全宝CEO马杰:与360之间谈不上竞争2013-07-29
本类最新
科技视界
要闻推荐
今日视点
热点专题
- 新闻排行
- 评测排行