近日360网站安全检测平台发布消息称,该平台协助知名开源电商系统ShopEx修复了一个SQL注入高危漏洞,目前ShopEx官网已发布补丁,提醒广大站长尽快做好安全更新。同时,360网站卫士用户已可免疫此ShopEx漏洞,加入360网站卫士防护的网站不受影响。
据悉,ShopEx是国内市场份额最高的网店系统之一,正广泛应用于各种规模的电商网站。鉴于电商网站存在大量用户资料和交易记录,因此一直是黑客重点入侵的对象。据360发布的《2013中国电商行业网站安全检测报告》显示:国内电商网站安全检测平均成绩仅65分,平均每天有24.5家电商网站遭黑客攻击,一些网站频繁曝出用户数据库泄露、网页被篡改等事故,电商网站安全性成为消费者选择网购平台的关注焦点。
360网站安全工程师介绍说,ShopEx是国内相对更重视漏洞修复的建站系统,能够及时响应漏洞报告。最新出现的ShopEx SQL注入漏洞存在于修改收货地址的页面,黑客可以利用漏洞查询网站数据信息甚至“拖库”。360网站漏洞悬赏项目“库带计划”收到该漏洞报告后,第一时间通知ShopEx进行修复,并协助对方快速推出补丁。
ShopEx官方补丁下载地址:http://bbs.shopex.cn/read.php?tid-302369.html
图:360协助ShopEx修复SQL注入漏洞
ShopEx SQL注入漏洞原理:
漏洞存在于/core/shop/controller/ctl.member.php文件中的saveRec方法中,对传入的用户参数未作任何过滤。
漏洞利用效果及危害:
可被攻击者用户获取数据库任意数据,包括管理员账号及密码哈希,甚至“拖库”等。黑客可以直接执行SQL语句,可能获取数据、修改数据、删除数据等,甚至控制服务器。ShopEx官网已对此发布安全补丁。
相关报道:
- 奇虎360第二季度净利润飙涨372%2013-08-26
- 80后辣妈网购婴儿座椅 误入假团购被骗1200元2013-08-26
- 奇虎360第二季净利3300万美元 同比增长372%2013-08-26
- 云存储“T时代”:360云盘推出1T免费空间2013-08-22
- 新生学费遭诈骗疑似大学招生数据库泄露2013-08-22
本类最新
本类最热
科技视界
要闻推荐
今日视点
热点专题
新闻图片
- 新闻排行
- 评测排行