360独家发现并协助ECShop修复高危漏洞

  近日,360网站安全检测平台独家发现网店系统ECShop支付宝插件存在高危0day漏洞。

  近日,360网站安全检测平台独家发现网店系统ECShop支付宝插件存在高危0day漏洞。黑客可利用SQL注入绕过系统限制获取网站数据,进而实施“拖库”窃取网站资料。由于ECShop与电子商务关系密切,涉及网上钱财交易,一旦该漏洞被大范围利用,将造成严重后果。对此,360已于第一时间向ECShop通报了该漏洞细节并协助推出了官方修复补丁。

  360网站安全检测平台服务网址:http://webscan.360.cn

  ECShop是一款热门的B2C网店建站系统,国外很多知名企业和个人用户都在使用ECShop建立电商网站。据悉,360此次发现的漏洞存在于所有版本的ECShop系统中,大量电商网站面临被拖库的风险。

  

  图1:黑客可用str_replace函数绕过单引号限制实施SQL注入

  据360安全工程师分析,此次出现的ECShop系统SQL注入漏洞存在于/includes/modules/payment/alipay.php文件中,该文件是ECshop的支付宝插件。由于ECShop使用了str_replace函数做字符串替换,黑客可绕过单引号限制构造SQL注入语句。只要开启支付宝支付插件就能利用该漏洞获取网站数据,且不需要注册登入。GBK与UTF-8版本ECshop均存在此漏洞。

  

  图2:构造SQL语句可查询后台管理用户密码

  目前,ECShop官网已经发布官方修复程序。360网站安全检测平台也第一时间向注册用户发送了告警邮件,提醒用户尽快打补丁,防止黑客拖库攻击。同时,360安全工程师建议网站管理员及个人站长使用360网站安全检测平台对网站进行全面体检,掌握网站安全状况,并使用360网站卫士防御黑客攻击。

  临时解决方案:

  1.关闭支付宝插件

  2.修改/includes/modules/payment/alipay.php文件中

  $order_sn = str_replace($_GET['subject'], '', $_GET['out_trade_no']);

  $order_sn = trim($order_sn);

  修改成如下代码

  $order_sn = str_replace($_GET['subject'], '', $_GET['out_trade_no']);

  $order_sn = trim(addslashes($order_sn));

  ECShop官方补丁程序下载地址(推荐):

  http://bbs.ecshop.com/viewthread.php?tid=1125380&extra=page=1&orderby=replies&filter=172800

时间: 2024-10-23 20:36:38

360独家发现并协助ECShop修复高危漏洞的相关文章

升级OpenSSL修复高危漏洞Heartbleed

升级OpenSSL修复高危漏洞Heartbleed 背景:          OpenSSL全称为Secure Socket Layer,是Netscape所研发,利用数据加密(Encryption)作技术保障在Internet上数据传输的安全.可确保数据在网络上的传输不会被窃听及截取.          当然,OpenSSL是一个强大的密码库,我们在使用SSL协议的时候不一定非得采用OpenSSL,不过目前基本上都是用的OpenSSL,因为它更安全,使用起来也更简单.          在近期

【转载】升级OpenSSL修复高危漏洞Heartbleed

背景:       OpenSSL全称为Secure Socket Layer,是Netscape所研发,利用数据加密(Encryption)作技术保障在Internet上数据传输的安全.可确保数据在网络上的传输不会被窃听及截取.       当然,OpenSSL是一个强大的密码库,我们在使用SSL协议的时候不一定非得采用OpenSSL,不过目前基本上都是用的OpenSSL,因为它更安全,使用起来也更简单.       在近期互联网安全协议OpenSSL v1.0.1到1.0.1f的密码算法库中

Firefox 3.5.1发布 修复高危漏洞

中介交易 http://www.aliyun.com/zixun/aggregation/6858.html">SEO诊断 淘宝客 云主机 技术大厅 据国外媒体报道,7月16日Mozilla发布火狐浏览器3.5.1版本,据该版本发布说明,Firefox 3.5.1修复了一个安全问题,提高了运行稳定性,并且加快了在Windows系统上的启动速度. "我们强烈建议所有Firefox 3.5用户升级到这个最新版本",浏览器的主管Mike Beltzner在周四更新的博客上说.

奇虎360称发现微软史上最大安全漏洞

[搜狐IT消息]9月17日消息,奇虎360对外宣布,微软爆出有史以来最大的安全漏洞.通过该漏洞,攻击者可以将木马藏于图片中,网民无论是通过浏览器浏览.还是用各种看图软件打开.或者在即时聊天窗口.电子邮件.Office文档里查看这些图片,只要看了就会中招!哪怕只是看了一个QQ表情!其危害程度远远超过以往微软公布过的任何安全漏洞.   针对这一突发情况,奇虎360迅速组织力量进行研发,在第一时间独家推出了完整的解决方案,能够同时修补windows系统和第三方软件中存在的漏洞. 据奇虎360的工程师介

LastPass 释出安全更新修复高危漏洞

行的密码管理器 LastPass 释出了紧急安全更新修复 Google Project Zero 研究员 Tavis Ormandy 报告的严重漏洞,它建议用户尽可能快的升级到 4.1.44 版本.漏洞影响 LastPass 的客户端,能通过钓鱼网站或恶意广告利用去窃取用户的密码.Ormandy 上周将漏洞报告和 POC 原型发送给 LastPass,根据 Project Zero 的漏洞披露政策,LastPass 有 90 天时间完成修复.不过,LastPass 只用了一周时间.Ormandy

云计算核心组件QEMU连爆10枚高危漏洞

本文讲的是云计算核心组件QEMU连爆10枚高危漏洞,自5月至今,作为云计算重要基础组件的QEMU已经被连续爆出10枚高危漏洞,从官方网站漏洞描述看,这10枚漏洞分别会造成包括"虚拟机逃逸"."宿主机运行时信息泄露"."拒绝服务"等后果.目前QEMU官方已经联合RedHat安全团队处理并披露了这10枚高危漏洞. 这10枚漏洞均由奇虎360信息安全部云安全团队的成员发现并向官方汇报. 云计算核心模块QEMU 作为支撑云计算的基础模块,QEMU是存在于

ECShop曝高危SQL注入漏洞 360首推临时解决方案

日前,第三方漏洞报告平台乌云曝出国内知名网店系统ECShopGBK版本存在高危SQL注入漏洞,(http://wooyun.org/bugs/wooyun-2010-09463),黑客利用此漏洞可获得管理员账号密码,窃取网站数据.360网站安全检测平台对注册网站检测发现,国内3000余个网站存在此漏洞,是近期流行度最高的漏洞之一.目前,360已独家提供了应对该漏洞的临时解决方案. 360网站安全检测平台网址:http://webscan.360.cn ECShop是一款基于PHP与MYSQL开发

360全球首发独家补丁修复微软漏洞

12月9日下午,360安全中心紧急宣布,监测到一个非常严重的微软安全漏洞,将影响到所有使用IE控件的程序,包括各主要浏览器.办公软件.Rss订阅器以及可嵌入网页的所有第三方软件. 为防止由此漏洞导致的大规模木马疫情的爆发,360安全中心在全球范围内率先发布了独家补丁程序.凡是360安全卫士的用户,均可通过"修复系统漏洞"打上补丁,避免受到木马的侵袭. 目前,360安全中心已监控到有黑客开始利用该漏洞疯狂传播木马,这一漏洞导致的安全威胁表现为:不管是用IE.傲游.腾讯TT等浏览器上网,还

FCKEditor曝高危漏洞 360首发临时解决方案

中介交易 SEO诊断 淘宝客 云主机 技术大厅 近日,国外漏洞平台exploit-db曝光FCKEditor 最新版(2.6.8 Asp版)存在任意文件上传高危漏洞 近日,国外漏洞平台exploit-db曝光FCKEditor 最新版(2.6.8 Asp版)存在任意文件上传高危漏洞(漏洞详情:http://www.exploit-db.com/exploits/23005/ ),黑客借助该漏洞能够直接上传木马.后门程序并控制服务器,最终造成网站数据被窃等严重后果.360网站安全检测发现,国内大量