|
||||
ECSHOP是熱門電商建站系統,很多知名電商都在使用。如果系統出現漏洞,被入侵甚至拖庫,將給網站和用戶帶來巨大損失。近日,360網站安全第三方漏洞收集平臺收到白帽子提交的ECSHOP二次注入高危漏洞,黑客可以利用此漏洞直接執行SQL語句,可以獲取數據、修改數據、刪除數據,甚至寫入後門,進而控制服務器。對此,360已於第一時間向ECSHOP通報了該漏洞細節並協助推出了官方修復補丁,請使用該建站程序的網站站長盡快修復。補丁地址:http://bbs.ecshop.com/thread-1131753-1-1.html
“360第三方漏洞收集平臺”是360公司推出的漏洞懸賞項目,以現金獎勵方式征集開源建站系統漏洞,用以幫助軟件公司和開發者及時推出漏洞補丁,加強國內網站對黑客攻擊“拖庫”的防范能力。已經協助多家廠商修復了漏洞,涉及Discuz!、ShopEx、ECShop、PHPWind、PHPCMS、DEDECMS等知名建站系統。
對於無法立刻修復漏洞的網站,建議啟用360免費網站防護產品—360網站衛士,可以幫助網站防入侵、防攻擊、防篡改,而且可以快速配置。地址:http://wangzhan.360.cn/
附:漏洞原理:
漏洞存在mobile頁面,由於用戶注冊能使用任意字符作為用戶名,導致後續的二次注入漏洞,用戶注冊未過濾。
用構造好的語句當做用戶名注冊用戶,存入數據庫,後續會對用戶名做查詢操作導致產生了sql注入攻擊。
漏洞利用效果
直接插入構造好的sql語句來注冊用戶名,然後登入