近日360网站安全检测平台发布消息称，该平台协助知名开源电商系统ShopEx修复了一个SQL注入高危漏洞，目前ShopEx官网已发布补丁，提醒广大站长尽快做好安全更新。同时，360网站卫士用户已可免疫此ShopEx漏洞，加入360网站卫士防护的网站不受影响。

据悉，ShopEx是国内市场份额最高的网店系统之一，正广泛应用于各种规模的电商网站。鉴于电商网站存在大量用户资料和交易记录，因此一直是黑客重点入侵的对象。据360发布的《2013中国电商行业网站安全检测报告》显示：国内电商网站安全检测平均成绩仅65分，平均每天有24.5家电商网站遭黑客攻击，一些网站频繁曝出用户数据库泄露、网页被篡改等事故，电商网站安全性成为消费者选择网购平台的关注焦点。

360网站安全工程师介绍说，ShopEx是国内相对更重视漏洞修复的建站系统，能够及时响应漏洞报告。最新出现的ShopEx SQL注入漏洞存在于修改收货地址的页面，黑客可以利用漏洞查询网站数据信息甚至“拖库”。360网站漏洞悬赏项目“库带计划”收到该漏洞报告后，第一时间通知ShopEx进行修复，并协助对方快速推出补丁。

ShopEx官方补丁下载地址：http://bbs.shopex.cn/read.php?tid-302369.html

图：360协助ShopEx修复SQL注入漏洞

ShopEx SQL注入漏洞原理:

漏洞存在于/core/shop/controller/ctl.member.php文件中的saveRec方法中，对传入的用户参数未作任何过滤。

漏洞利用效果及危害:

可被攻击者用户获取数据库任意数据，包括管理员账号及密码哈希，甚至“拖库”等。黑客可以直接执行SQL语句，可能获取数据、修改数据、删除数据等，甚至控制服务器。ShopEx官网已对此发布安全补丁。