3月29日,360网站安全检测平台发布漏洞警报称,国内
大量B2C网上商城正面临高危漏洞威胁,可能导致网站被黑客入侵控制、消费者帐号密码等数据泄露。据悉,这部分网站使用了老版本ECShop网店
建站系统,至今未修复一个曝光
多年的“本地文件包含漏洞”,为此360网站安全检测平台已通知客户升级ECShop版本,并提供更便捷的代码修复方案。360网站安全检测平台服务网址:http://webscan.360.cn据了解,ECShop是业界知名的B2C开源网店系统,适合企业及个人快速构建个性化网上商城。早在2010年4月,ECShop官方版本修复了“本地文件包含漏洞”,但由于大批网站欠缺安全意识,迟迟没有升级到V2.7.2及以上版本,因此才会给黑客长期攻击漏洞的机会,这部分网站比例高达40%。经360安全工程师分析,旧版ECShop漏洞
源于js/calendar/ calendar.php 文件,“由于$lang变量的检测不严。黑客可以绕过一些逻辑判断,将恶意字符串带入include_once包含语句,造成‘本地文件包含漏洞’利用。”498)this.w
idth=498;' onmousewheel = 'javascript:return big(this)' src="http://images.51cto.com/files/uploadimg/20120329/1835480.jpg">图:360WebScan分析旧版ECShop“本地文件包含漏洞”360安全工程师表示,黑客借该漏洞可能
获取网站服务器内敏感信息,甚至执行任意代码,进而获取应用程序和服务器权限,对B2C电商网站用户数据和
账户信息形成威胁。同时由于漏洞曝光日久,漏洞原理和攻击方法已广泛传开,这类“老漏洞”
往往更容易吸引大批黑客入侵。为保护电商网站业务和消费者数据安全,360建议使用旧版ECShop系统的电商网站立即升级至官方最新版本,或修改代码来封堵漏洞,方法如下:打开 js/calendar/ calendar.php 文件,找到文件判断位置:if (!file_exists('../languages/' . $lang . '/calendar.php')){$lang = 'zh_cn';}按照ECShop官方解决方案将if语句修改为:if (!file_exists('../languages/' . $lang . '/calendar.php') || strrchr($lang,'.'))或采取360解决方案修改代码如下:if (!file_exists('../languages/' . $lang . '/calendar.php') || !in_
array($lang,array("en_us","zh_cn","zh_tw"),true))【责任编辑:王文文 TEL:(010)68476606】 原文:旧版ECShop漏洞影响
众多B2C商城 360提示网站升级系统 返回网络安全首页
旧版ECShop漏洞影响众多B2C商城 360提示网站升级系统
时间: 2024-12-30 13:25:41
旧版ECShop漏洞影响众多B2C商城 360提示网站升级系统的相关文章
利用旧版Android漏洞的E-Z-2-Use攻击代码发布
利用Android操作系统WebView编程接口漏洞的攻击代码已作为一个模块加入到开源漏洞利用框架Metasploit中.漏洞影响Android 4.2之前的版本,Google在Android 4.2中修正了这个漏洞,但根据官方统计, 超过五成用户仍然使用存在漏洞的旧版本.WebView的漏洞允许攻击者在Android浏览器和其它应用中注入恶意 JavaScript代码,获得与目标程序相同的访问权限,攻击者可以开启一个shell窗口访问受害者的文件系统.照相机,地理位置数据.SD卡数据和 地址簿
路过下载攻击利用旧版 Android 漏洞安装勒索软件
安全研究人员报告, 正在进行中的路过下载攻击利用旧版本Android设备的漏洞安装勒索软件索要赎金.Android设备由于种种原因有很多得不到更新,导致数以百万计的 设备易遭已修复的高危漏洞的攻击.最新的攻击至少组合利用了两个高危漏洞,影响 Android v 4.0到v4.3系统,其中一个漏洞给予了攻击者root访问权限.漏洞利用代码被发现大量借鉴--如果不是完全拷贝的话--去年7月意大利安全公司 Hacking Team被黑客泄漏的Android攻击脚本.恶意的JavaScript脚本通过广
旧版IE浏览器惊现新零时漏洞 最新版不受影响
摘要: 据国外媒体报道,安全厂商FireEye在微软IE浏览器中发现了一个新的零时安全漏洞,并且该漏洞可能会被网络犯罪分子广泛利用.据悉,受到该漏洞影响只有IE6.7和8,IE9和10不存在这个安 据国外媒体报道,安全厂商FireEye在微软IE浏览器中发现了一个新的零时安全漏洞,并且该漏洞可能会被网络犯罪分子广泛利用.据悉,受到该漏洞影响只有IE6.7和8,IE9和10不存在这个安全漏洞. Dustin Childs of Microsoft Trustworthy Computing对媒体表
旧版Mac ESET发现重大安全漏洞,用户陷入远程窃听危机
本文讲的是旧版Mac ESET发现重大安全漏洞,用户陷入远程窃听危机, 对黑客而言,有什么能比在一个应用广泛的软件中不费吹灰之力发现漏洞更让人激动的了? 如今,在旧版Mac ESET杀毒软件中就发现了这样一个易被利用的高危漏洞,允许任何未经身份验证的攻击者运用Mac系统中的root特权远程执行任意代码. 漏洞描述 该漏洞的漏洞编号为CVE-2016-9892,是由谷歌安全团队的Jason Geffner和Jan Bee两位研究人员于2016年11月在为 macOS 系统设计的 ESET En
微软将于10月起禁用旧版Flash Player:Win8.1/10平台不受影响
从2016年10月11日起,微软将自动阻止旧版Flash Player插件在Windows 7和Windows Server 2008 R2版本的IE浏览器上使用.这一决定并不会影响Windows 8.1或Windows 10用户,因其系统更新可以自动升级到最新版本的Flash Player.微软在公告中称:"我们已将阻止过时ActiveX控件的功能扩展至包含Adobe Flash Player在内". 系统会在打开一个网页并试图加载旧版Flash ActiveX控件时给出更新提示,但
旧版iOS设计界面被迫重新加入扁平和毛玻璃效果
硅谷网讯 对于设计业界来说,iOS7的发布是一个大事件.早在几个月前测试版放出时,就在设计师社区引发了一场讨论.众多基于旧版iOS设计风格而制作的界面,被迫重新设计加入扁平和毛玻璃效果.这两天新系统已经正式推出,一些应用新版界面已经同时上架. 在苹果的桌面系统Mac OS X上面,很多在Windows下自成一派的应用,都要经过重新设计,以尽力符合苹果的界面标准.一些应用看起来就好像是从另一个星球来的一样. 针对微软Windows Phone和Windows 8Modern界面而设计的应用也是如此
B2C商城入场费集体涨价 店费增加谁来管小企业?
要开始涨价了!随着2012年年末及2013年年初的到来,各种新规则.新条例就要开始实施.而其中最牵动众多网络商家的心和利益神经的就是天猫商城马上就要按照<2012年度淘宝商城商家招商规则>开始执行,服务费和保证金都将大幅度提高,可谓入场费要创新高,而新入驻天猫商城的商家更是有年销售额的考核要求. 然而,更让网络卖家焦虑的是,不仅仅是天猫商城,QQ商城.京东商城等B2C商城的入场费都有涨价的趋势.B2C商城入场费的节节攀升预示了网购市场的火爆以及人们对B2C网购模式的信任,但这样没有行业
为B2C商城经营是不错的选择
前段时间和朋友们一起交流,问我现在什么互联网项目比较好,大家一致认为B2C商城将是一个项目.(B2C是英文Business-to-Consumer(商家对客户)的缩写,而其中文简称为"商对客"."商对客"是电子商务的一种模式,也就是通常说的商业零售,直接面向消费者销售产品和服务.这种形式的电子商务一般以网络零售业为主,主要借助于互联网开展在线销售活动.)谷歌说的很对:当你以为一件事情已到顶峰的时候,其实它刚刚开始.互联网购物目前已经很流行,竞争也很激烈,据说很火的京
微软将停止支持旧版IE浏览器:狠招还是烂招?
中介交易 SEO诊断 淘宝客 云主机 技术大厅 北京时间8月8日上午消息,微软宣布,自2016年1月12日起停止支持旧版的IE浏览器,微软将只会为下列Windows操作系统和IE浏览器的组合提供技术支持和安全补丁升级: Windows Vista SP2和Internet Explorer 9 Windows Server 2008 SP2和Internet Explorer 9 Windows 7 SP1和Internet Explorer 11 Windows Server 2008 R2